Die Windows-Ereignisweiterleitung sammelt Logs von allen Servern ohne zusätzliche Agenten und liefert mit Windows Admin Center vollständige Nachvollziehbarkeit administrativer Aktionen. Die Kombination aus Basisabonnement, Zielabonnement und präzisen XPath-Filtern ermöglicht robuste Ereignisverarbeitung – agentenlos, ohne Cloud-Abhängigkeit, aber bereit für Azure Arc und Log Analytics.
Für die zentrale Verarbeitung von Log- und Ereignisdaten liefert die Windows-Ereignisweiterleitung die technische Basis.
Die zentrale Verarbeitung von Ereignisdaten benötigt eine robuste Architektur, die Logs zuverlässig von allen Servern erfasst, sicher transportiert und im Windows Admin Center präzise auswertet. Windows-Ereignisweiterleitung liefert dazu die technische Basis, während das Windows Admin Center für die Sichtbarkeit der verwalteten Systeme sorgt.
Windows-Ereignisweiterleitung überträgt Ereignisse von Quellservern an einen Ereignissammler, ohne dass zusätzliche Agenten erforderlich sind. Der Dienst ruft vorhandene Einträge aus aktivierten Ereigniskanälen ab und sendet sie an definierte Abonnements. Eine Besonderheit liegt in der Trennung aus Basisabonnement für alle Systeme und Zielabonnement für Server mit besonderer Relevanz. Diese duale Struktur unterstützt eine präzise Filterung und erlaubt differenzierte Analysen.
Ereignis-Abonnements sammelt Ereignisse auf Windows-Servern ein
Das Basisabonnement sammelt Prozessstarts, Anmeldungen, AppLocker-Ereignisse, Registryänderungen, Ereignisse des Zertifizierungsdiensts, Netzwerkfreigaben, Taskplaner-Einträge, Smartcard-Ereignisse, Sysmon-Events und viele weitere Signale. Das Zielabonnement erweitert diese Daten um PowerShell-Details, DNS-Abfragen einzelner Prozesse, CAPI-Operationen, RADIUS-Authentifizierungen, registrierte Gruppen für lokale Anmeldungen, Prozessbeendigungen, Wireless-802.1X-Ereignisse und Netzwerksitzungen.
Für beide Abonnements müssen die Quellserver in der Lage sein, alle benötigten Ereignisse zu erzeugen. Dazu gehören aktivierte Kanäle, ausreichend große .evtx-Dateien, die notwendigen Rechte für die Gruppe "Event Log Readers" und eine Auditkonfiguration, die Sicherheitsereignisse vollständig erzeugt. Alle Vorgaben lassen sich per Gruppenrichtlinie umsetzen.
Ein Server fungiert als Sammlungsziel und benötigt den gestarteten Windows-Ereignissammlungsdienst. Nach dem Start des Diensts übernimmt die Ereignisanzeige die Verwaltung sämtlicher Abonnements. Zur Aktivierung des Dienstes erfolgt ein Klick auf "Abonnements" in der Windows-Ereignisanzeige (eventvwr.msc).
Der Sammlungsserver muss Kerberos nutzen können, den Netzwerkdienst in der lokalen Gruppe "Event Log Readers" enthalten und über eine funktionierende WinRM-Konfiguration verfügen. Der Befehl "winrm quickconfig" aktiviert die notwendigen Listener und Berechtigungen. Danach folgt "wecutil qc" zur Grundkonfiguration des Sammlungsdiensts.
Kerberos schützt die Verbindung zwischen Quellsystem und Sammlungsserver automatisch. Mit NTLM lässt sich die Authentifizierung zusätzlich erzwingen oder ausschließen. Falls Zertifikate genutzt werden sollen, stehen HTTPS-Abonnements mit beidseitiger Zertifikatsauthentifizierung zur Verfügung.
Hier identifiziert die Angabe den Sammlungsserver und das Intervall für die Abfrage nach neuen Abonnements. Nach Anwendung der Richtlinie melden sich die Server automatisch am Sammler. Wichtige Voraussetzungen sind:
aktivierte Ereigniskanäle
ausreichende Größe der .evtx-Dateien
Mitgliedschaft des Netzwerkdiensts in "Event Log Readers"
gestarteter WinRM-Dienst
stabile Namensauflösung und funktionierende Authentifizierung
Wenn ein Server kein Ereignis liefert, zeigen die Kanäle "Windows Remote Management/Operational" und "Eventlog-ForwardingPlugin/Operational" die Ursache mit EventID 102, 103, 104 oder Fehlern wie Code 5004 an. Fehler behindern die Übertragung geschützter Logs, bis Berechtigungen korrigiert wurden.
Einrichtung eines Abonnements in der Ereignisanzeige
Die Ereignisanzeige stellt alle Optionen zur Erstellung zentraler Abonnements bereit. Nach Auswahl von "Abonnement erstellen" definieren Sie Name, Beschreibung und Zielprotokoll. Standardmäßig werden alle weitergeleiteten Ereignisse im Log "ForwardedEvents" abgelegt.
Anschließend wird "Quellcomputerinitiiert" ausgewählt. Die Quellsysteme lassen sich direkt aus Active Directory hinzufügen. Eine erfolgreiche Verbindung zeigt der Test-Button an. Danach folgt die Auswahl des Ereignisfilters. Abfragen basieren auf XPath-Strukturen, die sich in der Ereignisanzeige im XML-Modus anzeigen lassen.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Das Abonnement lässt sich über die Schaltfläche "Erweitert" präzisieren. Die Einstellungen bestimmen, wie der Sammler Ereignisse abruft:
Normal: Pull-Modus, 5 Elemente pro Batch, 15 Minuten Timeout
Im Unternehmensumfeld eignet sich "Normal" für allgemeine Systeme, während sicherheitsrelevante Systeme "Wartezeit minimieren" nutzen. Nach der Aktivierung erscheinen im Statusfenster die verbundenen Server. Kurz darauf treffen die ersten Ereignisse im Zielprotokoll ein.
Das Zielabonnement erweitert diese Daten um tiefergehende Indikatoren, damit sich untypische Muster erkennen lassen. Dazu gehören DNS-Anfragen einzelner Prozesse, Credential-Validierungen, RADIUS-Logininformationen, CAPI-Aktivitäten und Anmeldungen über explizite Anmeldeinformationen.
Damit die Ereignisvolumina bewältigt werden, müssen Quellserver ausreichend große Puffer besitzen. Das geschieht über erhöhte Maximalgrößen der jeweiligen Kanäle, konfiguriert per Gruppenrichtlinie und dem Werkzeug "wevtutil". Die Konfiguration erfolgt direkt über Gruppenrichtlinien, die auf den Quellservern einen geplanten Task ausführen. Dieser Task ruft "wevtutil" mit den erforderlichen Parametern auf und setzt damit für jeden relevanten Kanal eine größere maximale Dateigröße sowie angepasste Kanalberechtigungen. Die Gruppe "Event Log" Readers erhält dadurch Lesezugriff auf geschützte Kanäle.
Ein typischer GPO-Eintrag nutzt ein Skript oder eine geplante Aufgabe, die nacheinander mehrere Befehle ausführt. Für "Microsoft-Windows-CAPI2/Operational", "Microsoft-Windows-AppLocker/EXE and DLL" und "Microsoft-Windows-DriverFrameworks-UserMode/Operational" stehen passende Befehle bereit. Ein Beispiel zeigt die Struktur:
Die Ausführung dieser Befehle erhöht die maximale Größe der Protokolldateien auf dem Quellserver und stellt sicher, dass alle relevanten Ereignisse im lokalen Speicher verbleiben, bis der Sammler sie abruft. Die GPO setzt die Konfiguration beim nächsten Aktualisierungszyklus um, ohne weitere Eingriffe am Server.
Windows Admin Center als Oberfläche für Ereignisdaten
Windows Admin Center integriert eine eigene Ereignisanzeige, die Logs aus dem verwalteten Server direkt über den Browser sichtbar macht. Der Kanal "WindowsAdminCenter" auf jedem verwalteten Server enthält Ereignisse mit der EventID 4000. Diese Einträge dokumentieren exakt, welche Verwaltungsaktionen ein Administrator über das Windows Admin Center ausführt.
Jedes Ereignis enthält:
PowerShell-Skriptname eines ausgeführten Skripts
CIM-Operationen bei WMI-Zugriffen
den Namen des ausgeführten Moduls
Gatewayserver, über den der Zugriff erfolgte
Benutzerkonto am Gateway
Benutzerkonto am Zielserver
Delegation true/false
LAPS true/false
hochgeladene Dateien, falls der Vorgang Uploads enthielt
Diese Daten dienen der Nachvollziehbarkeit administrativer Aktivitäten und ergänzen die über WEF gesammelten Ereignisse. Die Kombination aus Ereignisweiterleitung und WAC-Auditkanal liefert ein vollständiges Bild technischer und administrativer Ereignisse.
Im Windows Admin Center kann man dazu zum jeweiligen Server navigieren und die Ansicht "Ereignisse" öffnen. Die Struktur entspricht der lokalen Ereignisanzeige, zeigt jedoch zusätzlich die kanalisierten Verwaltungsdaten. Über Filter lassen sich Protokolle, Schlüsselwortgruppen, Zeitraum und Schweregrad präzisieren.
Alle weitergeleiteten Ereignisse erscheinen in "ForwardedEvents", wenn der Server als Sammler fungiert. Die Ansicht lässt sich exportieren, durchsuchen und über PowerShell-Schaltflächen erweitern.
Erweiterte Szenarien mit Azure Arc und Log Analytics
Wenn Windows-Ereignisweiterleitung mit Azure-Arc-Agenten kombiniert wird, lassen sich Ereignisse zusätzlich an Log Analytics übertragen. Data Collection Rules ermöglichen die Definition beliebiger XPath-Abfragen, die Log Analytics oder Microsoft Sentinel nutzen kann. Dies erweitert die lokale Eventweiterleitung um Cloud-gestützte Langzeitanalysen und Threat-Hunting-Szenarien.
Data Collection Rules erfassen Logs aus lokalen Kanälen wie Application, System, Security oder benutzerdefinierten Events. Für zielgerichtete Abfragen lässt sich der XPath-Filter direkt aus der Ereignisanzeige übernehmen. Die Logs landen in der Tabelle "Event" oder als Sicherheitsereignisse in "SecurityEvent". Diese Funktion ergänzt, ersetzt aber nicht die klassische Ereignisweiterleitung, da WEF robust ohne Cloud-Abhängigkeit arbeitet.
Bei Übertragungsfehlern liefern mehrere Stellen verlässliche Hinweise:
Eventlog-ForwardingPlugin/Operational
Windows Remote Management/Operational
Zielprotokoll ForwardedEvents
wevtutil-Diagnose
Kerberos-Logpegel über Registry "LogLevel"
Typische Ursachen sind fehlende Berechtigungen, deaktivierte Kanäle, unzureichende Puffergrößen oder fehlerhafte SubscriptionManager-Konfigurationen. Code 5004 verweist oft auf fehlende Leserechte für Security- oder Sysmon-Kanäle. Ein einfacher Weg zur Lösung ist die Aufnahme des Netzwerkdiensts in "Event Log Readers".
Archivierung und Rotation der weitergeleiteten Ereignisse
Auf dem Sammlungsserver steigt das Volumen der Ereignisse schnell. Um Daten nicht zu verlieren, sollten .evtx-Dateien vergrößert, Archivierung aktiviert und Protokolle bei Erreichen der Maximalgröße automatisch gesichert werden. Die Archivdateien liegen im Verzeichnis "C:\Windows\System32\winevt\Logs". Für produktive Systeme empfiehlt sich ein abgesetztes Volume und eine geplante Aufgabe, die ältere Archivdateien verschiebt.
Nutzung im Praxisbetrieb
Die Kombination aus Ereignisweiterleitung und Windows Admin Center bietet eine agentenfreie Verwaltung aller relevanten Ereignisdaten. Administratoren erkennen Angriffe durch verdächtige Anmeldeereignisse, PowerShell-Aktivitäten, unzulässige Registryänderungen, ungewöhnliche RDP-Verbindungen oder Prozessanomalien. Die WAC-Auditereignisse liefern Informationen über Bedienhandlungen und gestatten eine vollständige Rekonstruktion administrativer Aktionen. Parallel sorgen Azure Arc und Log Analytics für Langzeitaufbewahrung und erweitertes Threat-Hunting. Die Infrastruktur funktioniert auch ohne SIEM-System, eignet sich aber hervorragend, um große Security-Plattformen mit verlässlichen Datenquellen zu versorgen.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/23/55/235504bbda4efcf043fbef7c7acc23d3/0129423267v2.jpeg "Omnichannel-Inboxen verbinden alle Kundenkanäle in einer Plattform, aber ohne Zero-Trust-Architektur wird diese zentrale Schnittstelle zum Einfallstor für Angreifer. (Bild: © kucherav - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b9/11/b9115df1d2563d3f5f0135fc29466adb/0129435205v2.jpeg "Cyberkriminellen ist es gelungen, die Infrastruktur für die Verwaltung mobiler Endgeräte der EU-Kommission anzugreifen und möglicherweise auch Mitarbeiterdaten zu stehlen. (Bild: Pixabay)")
:quality(80)/p7i.vogel.de/wcms/1e/87/1e8722924319fba390a702acb7625ea1/0129222716v2.jpeg "Die 1-Click-Schwachstelle im Idis ICM Viewer ermöglicht es Angreifern, durch einen unbedachten Klick ihres Opfers, Code auf dem Host-Gerät auszuführen. ( © Ettore - Fotolia)")
:quality(80)/p7i.vogel.de/wcms/da/cd/dacd0e89cad4438353a1e68ce241ee08/0129347964v1.jpeg "Für die zentrale Verarbeitung von Log- und Ereignisdaten liefert die Windows-Ereignisweiterleitung die technische Basis. (Bild: © TommyNa - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c2/98/c29852ca70a005b2d5efe5a94f01cc75/0129257897v2.jpeg "Sophos Workspace Protection soll eine einfache Alternative zu herkömmlichen SASE-Ansätzen sein und hybrides Arbeiten absichern. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/72/12/721208d0cf7c674ebbd3ea17d71c8caa/0129122390v1.jpeg "2026 zeigen sich technologische wie geopolitische Veränderungen auch in der Cloud-Sicherheit: Der Fokus liegt auf neuen Herausforderungen wie KI oder digitale Souveränität. (Bild: © ipopba - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/13/de/13de074170ecd30e7a7f7a9788c2ad35/0129343385v2.jpeg "Aisle entdeckte mit seiner KI jahrealte Sicherheitslücken in der OpenSSL-Bibliothek. Die Code-Analyse mit KI könnte die Auswirkungen auf die Erbringung von Security Services haben. (Bild: © Maximusdn - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f1/db/f1dbe322f0469f58d749a8d7439e02aa/0129455085v1.jpeg "ITDR-Lösungen erkennen Konfigurationsprobleme sowie Anomalien in Echtzeit, bevor Angreifer gestohlene Zugangsdaten ausnutzen können. (Bild: aldomurillo / gettyimages)")
:quality(80)/p7i.vogel.de/wcms/74/2e/742e28431b7c5c98c5f11c3ae9e51303/0128671170v2.jpeg "Microsoft ermöglicht unter Windows 11 die Verwendung externer Passwortmanager wie Bitwarden und 1Password für die Speicherung und Nutzung von Passkeys. (Bild: Hein - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8b/e6/8be6646a207e9ac0ff1f1b97a995fedc/0124243505v1.jpeg "Bei einer System-Umstellung wurden die elektronischen Patientenakten der AOK-Versicherten gesperrt. (©Andrea Gaitanides – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/5b/e95b18cce433513d0cfe49102fcad807/0129175753v2.jpeg "Wie viele Teams in Unternehmen müssen auch Datenschutzteams jeden Cent umdrehen und die Budgets werden wohl weiter sinken. (Bild: mrmohock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d3/a8/d3a8e5d0c386e216cb80a9f86adf71c1/0129257881v2.jpeg "Für die Umsetzung der NIS2-Richtlinie brauchen Unternehmen ein klares Bild ihrer Sicherheitsorganisation. Ein Selbst-Audit kann dabei helfen. (Bild: nis2-conform.eu)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:quality(80)/p7i.vogel.de/wcms/39/03/39033b3b86a2986d97bdd7f1c0392f37/0129347234v1.jpeg "Mit Bordmitteln lassen sich Ereignisanzeigen in Windows sammeln und zentral verwalten, auch mit dem Windows Admin Center über den Browser.(Bild: Joos)")
:quality(80)/p7i.vogel.de/wcms/b1/a9/b1a9545d6dc03d12a4690d58663f4435/0129347237v1.jpeg "Konfigurieren der Server für die Weiterleitung von Ereignissen an einen Sammler.(Bild: Joos)")
:quality(80)/p7i.vogel.de/wcms/3d/7b/3d7bd64ef67fab90b904c4f35e9ed4e0/0129347238v1.jpeg "Einrichten eines Ereignis-Abonnements in Windows Server 2025 auf dem Datensammler.(Bild: Joos)")
:quality(80)/p7i.vogel.de/wcms/84/85/8485d11a7b631858f15dee606a4201b8/0129347235v1.jpeg "Konfigurieren eines Ereignis-Abonnements in Windows Server 2025.(Bild: Joos)")
:quality(80)/p7i.vogel.de/wcms/7a/60/7a60257935bfaaf43ac2212ce605e135/0126295684v2.jpeg "Das Synology Protokoll-Center hilft Unternehmen dabei, System- und Netzwerklogs zu konsolidieren, Anomalien frühzeitig zu erkennen und und Transparenz zu schaffen. (Bild: © vegefox.com - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/df/23/df2362f0d3189fad6526101fa3d511b4/0116753338.jpeg "ChatGPT kann nicht nur nette Texte schreiben, das KI-Tool kann sogar Admins dabei helfen, komplexe Protokolldateien und Firewall-Logs zu analysieren und sogar Phishing-E-Mails erkennen. (Bild: Supatman - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/37/96/3796a4a4cd7d261e94bee1db9b540a23/0116834731.jpeg "Wir zeigen 10 wichtige Tipps, wie man die Sicherheit von Linux-Systemen verbessern kann. (Bild: PAOLO - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/39/ef/39ef365ee7a1cb1de7549f743ffb721a/0121332988v2.jpeg "Microsoft hat die Update-Lösung Windows Server Update Services (WSUS) als „abgekündigt“ deklariert. Es ist also an der Zeit, auf alternative Lösungen zu setzen. (Bild: Miha Creative - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/55/9a/559adc41b4ba8e05d038c0521e072136/0117272493v1.jpeg "Das Server-Message-Block-Protokoll ermöglicht den Zugriff auf Dateien im Netzwerk. In Windows 11 ab Build 25987 und in Windows Server 2025 kann jetzt festgelegt werden, dass Clients und Server nur verschlüsselte SMB-Verbindungen akzeptieren. (Bild: ©kanawatTH via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/97/16/97161bc650bf4d7681114ab563c92d70/0110588372.jpeg "Der Update-Dienst „Azure Update Management“ ermöglicht die einfache Aktualisierung von Windows- und Linux-VMs und auch von lokalen Servern. (Bild: Miha Creative - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/82/018289984cdde9776482195479784efd/0122024689v2.jpeg "Mit Windows Server 2025 hat Microsoft die Technik des „Hotpatching“ verbessert und in allen Editionen von Windows Server 2025 integriert. Zusammen mit Azure Arc bringt Microsoft Hotpatching ins lokale Rechenzentrum. (Bild: Pakin - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/62/2b6269281a4b9824a8e0eebd1a3c9e2e/0128800280v2.jpeg "Windows Server 2025 erhält 2026 neue Funktionen wie Zero Trust, Verschlüsselung und Telemetrie, einschließlich Erweiterungen für Storage, Hyper-V-Verwaltung und lokale KI, die zunächst über Insider Builds getestet werden und eine verbesserte Sicherheit sowie neue Netzwerk- und Zugriffssteuerungen bieten. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/ed/48/ed486a0822a9f675e1d04c36be3a1c15/0124316844v1.jpeg "Die PowerShell bietet Administratoren eine flexible Möglichkeit, die Überwachungsrichtlinien für Defender for Identity effizient zu verwalten und sicherzustellen, dass alle sicherheitsrelevanten Ereignisse im Active Directory erfasst werden.
(Bild: Vittaya_25 - stock.adobe.com)")