Ablauf des Windows Secure Boot-Zertifikats
Wichtig: Die von den meisten Windows-Geräten verwendeten Secure Boot-Zertifikate laufen ab Juni 2026 ab. Dies kann sich auf die Fähigkeit bestimmter persönlicher und geschäftlicher Geräte auswirken, sicher zu starten, wenn sie nicht rechtzeitig aktualisiert werden. Um Unterbrechungen zu vermeiden, empfiehlt es sich, den Leitfaden zu lesen und Maßnahmen zu ergreifen, um Zertifikate im Voraus zu aktualisieren.
Details und Vorbereitungsschritte für Windows-Geräte finden Sie unter Ablauf des Windows Secure Boot-Zertifikats und CA-Updates.
Ausführliche Informationen und Vorbereitungsschritte für Windows Server finden Sie in den folgenden Ressourcen:
|
Datum ändern |
Beschreibung ändern |
|
14. April 2026 |
Bekanntes Problem hinzugefügt: "Geräte mit einer nicht empfohlenen BitLocker-Gruppenrichtlinie-Konfiguration sind möglicherweise erforderlich, um ihren BitLocker-Wiederherstellungsschlüssel einzugeben" |
Zusammenfassung
In diesem Artikel werden die Sicherheitsprobleme und Qualitätsverbesserungen aufgeführt, die in diesem Sicherheitsupdate enthalten sind.
Gilt für: Windows 10 ESU
Wichtig: Verwenden Sie EKB KB5015684, um auf Windows 10 Version 22H2 zu aktualisieren.
Dieses Sicherheitsupdate enthält Korrekturen und Qualitätsverbesserungen, die Teil der folgenden Updates sind:
Im Folgenden sehen Sie eine Zusammenfassung der Probleme, die mit diesem Update behoben werden, wenn Sie dieses Update installieren. Wenn neue Features vorhanden sind, werden diese ebenfalls aufgelistet. Der fett formatierte Text in den Klammern gibt das Element oder den Bereich der Änderung an, die wir dokumentieren.
-
[Anmeldung] Behoben: Nach der Installation des Windows-Updates, das am oder nach dem 10. März 2026 veröffentlicht wurde, tritt bei einigen Benutzern möglicherweise ein Problem auf, sich bei Apps mit einem Microsoft-Konto anzumelden. Selbst wenn das Gerät über eine funktionierende Internetverbindung verfügt, wird während der Anmeldung der Fehler "Kein Internet" angezeigt und der Zugriff auf Microsoft-Dienste und -Apps wie Microsoft Teams verhindert.
-
[Remotedesktop] Dieses Update verbessert den Schutz vor Phishingangriffen, die Remotedesktopdateien (RDP)-Dateien verwenden. Wenn Sie eine RDP-Datei öffnen, zeigt Remotedesktop alle angeforderten Verbindungseinstellungen an, bevor eine Verbindung hergestellt wird, wobei jede Einstellung standardmäßig deaktiviert ist. Eine einmalige Sicherheitswarnung wird auch angezeigt, wenn Sie zum ersten Mal eine RDP-Datei auf einem Gerät öffnen. Weitere Informationen finden Sie unter Grundlegendes zu Sicherheitswarnungen beim Öffnen von Remotedesktopdateien (RDP).
-
[Sicherer Start]
-
Dieses Update ermöglicht die dynamische status-Berichterstellung für Sichere Startzustände in der Windows-Sicherheit-App (Einstellungen > Update & Security > Windows-Sicherheit). Erfahren Sie mehr über die status Warnungen über Badges und Benachrichtigungen. Beachten Sie, dass diese Verbesserungen auf kommerziellen Geräten und Servern standardmäßig deaktiviert sind.
-
Dieses Update behebt ein Problem, das dazu führen konnte, dass ein Gerät nach Updates für den sicheren Start in die BitLocker-Wiederherstellung wechselt.
-
Mit diesem Update umfassen Windows-Qualitätsupdates zusätzliche Hochzuversichts-Gerätezieldaten, die die Abdeckung von Geräten erhöhen, die automatisch neue Zertifikate für den sicheren Start erhalten können. Geräte erhalten die neuen Zertifikate nur nach dem Nachweis ausreichender erfolgreicher Updatesignale, wobei ein kontrollierter und stufenweiser Rollout aufrechterhalten wird.
-
Wenn Sie frühere Updates installiert haben, werden nur die neuen Updates in diesem Paket heruntergeladen und auf Ihrem Gerät installiert.
Weitere Informationen zu Sicherheitsrisiken finden Sie auf der neuen Website des Leitfadens für Sicherheitsupdates und im Security Updates vom April 2026.
Informationen zur Windows Update-Terminologie finden Sie im Artikel zu den Typen von Windows-Updates und den monatlichen Qualitätsupdatetypen. Eine Übersicht über Windows 10 Version 22H2 finden Sie auf der Seite mit dem Updateverlauf.
HinweisFolgen Sie @WindowsUpdate, um herauszufinden, wann neue Inhalte im Windows Release Health-Dashboard veröffentlicht werden.
Bekannte Probleme bei diesem Update
Symptom
Einige Geräte mit einer nicht empfohlenen BitLocker-Gruppenrichtlinie-Konfiguration sind möglicherweise erforderlich, um ihren BitLocker-Wiederherstellungsschlüssel beim ersten Neustart nach der Installation dieses Updates einzugeben.
Dieses Problem betrifft nur eine begrenzte Anzahl von Systemen, bei denen ALLE der folgenden Bedingungen zutreffen. Diese Bedingungen werden wahrscheinlich nicht auf persönlichen Geräten gefunden, die nicht von IT-Abteilungen verwaltet werden.
-
BitLocker ist auf dem Betriebssystemlaufwerk aktiviert.
-
Die Gruppenrichtlinie "Tpm-Plattformüberprüfungsprofil für native UEFI-Firmwarekonfigurationen konfigurieren" ist konfiguriert, und PCR7 ist im Validierungsprofil enthalten (oder der entsprechende Registrierungsschlüssel wird manuell festgelegt).
-
Systeminformationen (msinfo32.exe) melden secure boot state PCR7 Binding als "Not Possible" (Nicht möglich).
-
Das Windows UEFI CA 2023-Zertifikat ist in der Datenbank für die Sichere Startsignatur des Geräts vorhanden, sodass das Gerät für den 2023 signierten Windows-Start-Manager zur Standardeinstellung berechtigt ist.
-
Auf dem Gerät wird noch nicht der 2023-signierte Windows-Start-Manager ausgeführt.
In diesem Szenario muss der BitLocker-Wiederherstellungsschlüssel nur einmal eingegeben werden. Nachfolgende Neustarts lösen keinen BitLocker-Wiederherstellungsbildschirm aus, solange die Gruppenrichtlinienkonfiguration unverändert bleibt. Hilfe bei der Suche nach Ihrem BitLocker-Wiederherstellungsschlüssel finden Sie im Artikel Suchen Ihres BitLocker-Wiederherstellungsschlüssels.
Unternehmen wird empfohlen, ihre BitLocker-Gruppenrichtlinien auf explizite PCR7-Einbindung zu überprüfen und msinfo32.exe auf ihre PCR7-Bindungs-status zu überprüfen, bevor Sie dieses Update installieren. (Siehe Option 1 unten.)
Problemumgehung
Option 1: Entfernen der Gruppenrichtlinie-Konfiguration vor der Installation des Updates (empfohlen)
-
Öffnen Sie Gruppenrichtlinie Editor (gpedit.msc) oder Ihre Gruppenrichtlinie Management Console.
-
Navigieren Sie zu: Computerkonfiguration > Administrative Vorlagen > Windows-Komponenten > BitLocker-Laufwerkverschlüsselung > Betriebssystemlaufwerke.
-
Legen Sie "TPM-Plattformüberprüfungsprofil für native UEFI-Firmwarekonfigurationen konfigurieren" auf "Nicht konfiguriert" fest.
-
Führen Sie den folgenden Befehl auf betroffenen Geräten aus, um die Richtlinienänderung weiterzuverbreiten: gpupdate /force
-
Führen Sie den folgenden Befehl aus, um BitLocker anzusetzen (wobei BitLocker auf Laufwerk C: aktiviert ist): manage-bde -protectors -disable C:
-
Führen Sie den folgenden Befehl aus, um BitLocker fortzusetzen (wobei BitLocker auf Laufwerk C: aktiviert ist): manage-bde -protectors -enable C:
-
Dadurch werden die BitLocker-Bindungen aktualisiert, um das von Windows ausgewählte PCR-Standardprofil zu verwenden.
Option 2: Anwenden des Rollbacks für bekannte Probleme (Known Issue Rollback, KIR) vor der Installation des Updates
Ein Rollback für bekannte Probleme (KIR) ist für Kunden verfügbar, die die PCR7-Gruppenrichtlinie vor der Bereitstellung dieses Updates nicht entfernen können. Der KIR verhindert den automatischen Wechsel zum Start-Manager 2023 und vermeidet den BitLocker-Wiederherstellungstrigger. Die KIR sollte vor der Installation des Updates auf betroffenen Geräten bereitgestellt werden. Wenden Sie sich an den Microsoft-Support für Unternehmen , um diese KIR zu erhalten.
Nächste Schritte
Eine dauerhafte Lösung für dieses Problem ist in einem zukünftigen Windows-Update geplant. Weitere Informationen werden bereitgestellt, sobald sie verfügbar sind.
Gilt für: Windows 10 Enterprise LTSC 2021 und Windows 10 IoT Enterprise LTSC 2021
Wichtig: Verwenden Sie EKB-KB5003791, um auf Windows 10 Version 21H2 für unterstützte Editionen zu aktualisieren.
Dieses Sicherheitsupdate enthält Korrekturen und Qualitätsverbesserungen, die Teil der folgenden Updates sind:
Im Folgenden sehen Sie eine Zusammenfassung der Probleme, die mit diesem Update behoben werden, wenn Sie dieses Update installieren. Wenn neue Features vorhanden sind, werden diese ebenfalls aufgelistet. Der fett formatierte Text in den Klammern gibt das Element oder den Bereich der Änderung an, die wir dokumentieren.
-
[Anmeldung] Behoben: Nach der Installation des Windows-Updates, das am oder nach dem 10. März 2026 veröffentlicht wurde, tritt bei einigen Benutzern möglicherweise ein Problem auf, sich bei Apps mit einem Microsoft-Konto anzumelden. Selbst wenn das Gerät über eine funktionierende Internetverbindung verfügt, wird während der Anmeldung der Fehler "Kein Internet" angezeigt und der Zugriff auf Microsoft-Dienste und -Apps wie Microsoft Teams verhindert.
-
[Lizenzierung] Verbessert: Dieses Update behebt ein Problem, das sich auf Long-Term Servicing Channel (LTSC)-Imageerstellung mithilfe von Deployment Image Servicing and Management (DISM) auswirkt. DISM-Offlinevorgänge in den folgenden Editionen konnten aufgrund von Einschränkungen bei der Lizenzierungserzwingung keine Sicherheitsupdates anwenden. Jetzt können Sie DISM verwenden, um Sicherheitspakete während der Offlineimageerstellung für LTSC hinzuzufügen.
-
Windows 10 IoT Enterprise LTSC 2021
-
Windows 10 Enterprise G-SKU
-
Windows 10 Enterprise N LTSC
-
-
[Remotedesktop] Dieses Update verbessert den Schutz vor Phishingangriffen, die Remotedesktopdateien (RDP)-Dateien verwenden. Wenn Sie eine RDP-Datei öffnen, zeigt Remotedesktop alle angeforderten Verbindungseinstellungen an, bevor eine Verbindung hergestellt wird, wobei jede Einstellung standardmäßig deaktiviert ist. Eine einmalige Sicherheitswarnung wird auch angezeigt, wenn Sie zum ersten Mal eine RDP-Datei auf einem Gerät öffnen. Weitere Informationen finden Sie unter Grundlegendes zu Sicherheitswarnungen beim Öffnen von Remotedesktopdateien (RDP).
-
[Sicherer Start]
-
Dieses Update ermöglicht die dynamische status-Berichterstellung für Sichere Startzustände in der Windows-Sicherheit-App (Einstellungen > Update & Security > Windows-Sicherheit). Erfahren Sie mehr über die status Warnungen über Badges und Benachrichtigungen. Beachten Sie, dass diese Verbesserungen auf kommerziellen Geräten und Servern standardmäßig deaktiviert sind.
-
Dieses Update behebt ein Problem, das dazu führen konnte, dass ein Gerät nach Updates für den sicheren Start in die BitLocker-Wiederherstellung wechselt.
-
Mit diesem Update umfassen Windows-Qualitätsupdates zusätzliche Hochzuversichts-Gerätezieldaten, die die Abdeckung von Geräten erhöhen, die automatisch neue Zertifikate für den sicheren Start erhalten können. Geräte erhalten die neuen Zertifikate nur nach dem Nachweis ausreichender erfolgreicher Updatesignale, wobei ein kontrollierter und stufenweiser Rollout aufrechterhalten wird.
-
Wenn Sie frühere Updates installiert haben, werden nur die neuen Updates in diesem Paket heruntergeladen und auf Ihrem Gerät installiert.
Weitere Informationen zu Sicherheitsrisiken finden Sie auf der neuen Website des Leitfadens für Sicherheitsupdates und im Security Updates vom April 2026.
Informationen zur Windows Update-Terminologie finden Sie im Artikel zu den Typen von Windows-Updates und den monatlichen Qualitätsupdatetypen. Eine Übersicht über Windows 10 Version 22H2 finden Sie auf der Seite mit dem Updateverlauf.
HinweisFolgen Sie @WindowsUpdate, um herauszufinden, wann neue Inhalte im Windows Release Health-Dashboard veröffentlicht werden.
Bekannte Probleme bei diesem Update
Symptom
Einige Geräte mit einer nicht empfohlenen BitLocker-Gruppenrichtlinie-Konfiguration sind möglicherweise erforderlich, um ihren BitLocker-Wiederherstellungsschlüssel beim ersten Neustart nach der Installation dieses Updates einzugeben.
Dieses Problem betrifft nur eine begrenzte Anzahl von Systemen, bei denen ALLE der folgenden Bedingungen zutreffen. Diese Bedingungen werden wahrscheinlich nicht auf persönlichen Geräten gefunden, die nicht von IT-Abteilungen verwaltet werden.
-
BitLocker ist auf dem Betriebssystemlaufwerk aktiviert.
-
Die Gruppenrichtlinie "Tpm-Plattformüberprüfungsprofil für native UEFI-Firmwarekonfigurationen konfigurieren" ist konfiguriert, und PCR7 ist im Validierungsprofil enthalten (oder der entsprechende Registrierungsschlüssel wird manuell festgelegt).
-
Systeminformationen (msinfo32.exe) melden secure boot state PCR7 Binding als "Not Possible" (Nicht möglich).
-
Das Windows UEFI CA 2023-Zertifikat ist in der Datenbank für die Sichere Startsignatur des Geräts vorhanden, sodass das Gerät für den 2023 signierten Windows-Start-Manager zur Standardeinstellung berechtigt ist.
-
Auf dem Gerät wird noch nicht der 2023-signierte Windows-Start-Manager ausgeführt.
In diesem Szenario muss der BitLocker-Wiederherstellungsschlüssel nur einmal eingegeben werden. Nachfolgende Neustarts lösen keinen BitLocker-Wiederherstellungsbildschirm aus, solange die Gruppenrichtlinienkonfiguration unverändert bleibt. Hilfe bei der Suche nach Ihrem BitLocker-Wiederherstellungsschlüssel finden Sie im Artikel Suchen Ihres BitLocker-Wiederherstellungsschlüssels.
Unternehmen wird empfohlen, ihre BitLocker-Gruppenrichtlinien auf explizite PCR7-Einbindung zu überprüfen und msinfo32.exe auf ihre PCR7-Bindungs-status zu überprüfen, bevor Sie dieses Update installieren. (Siehe Option 1 unten.)
Problemumgehung
Option 1: Entfernen der Gruppenrichtlinie-Konfiguration vor der Installation des Updates (empfohlen)
-
Öffnen Sie Gruppenrichtlinie Editor (gpedit.msc) oder Ihre Gruppenrichtlinie Management Console.
-
Navigieren Sie zu: Computerkonfiguration > Administrative Vorlagen > Windows-Komponenten > BitLocker-Laufwerkverschlüsselung > Betriebssystemlaufwerke.
-
Legen Sie "TPM-Plattformüberprüfungsprofil für native UEFI-Firmwarekonfigurationen konfigurieren" auf "Nicht konfiguriert" fest.
-
Führen Sie den folgenden Befehl auf betroffenen Geräten aus, um die Richtlinienänderung weiterzuverbreiten: gpupdate /force
-
Führen Sie den folgenden Befehl aus, um BitLocker anzusetzen (wobei BitLocker auf Laufwerk C: aktiviert ist): manage-bde -protectors -disable C:
-
Führen Sie den folgenden Befehl aus, um BitLocker fortzusetzen (wobei BitLocker auf Laufwerk C: aktiviert ist): manage-bde -protectors -enable C:
-
Dadurch werden die BitLocker-Bindungen aktualisiert, um das von Windows ausgewählte PCR-Standardprofil zu verwenden.
Option 2: Anwenden des Rollbacks für bekannte Probleme (Known Issue Rollback, KIR) vor der Installation des Updates
Ein Rollback für bekannte Probleme (KIR) ist für Kunden verfügbar, die die PCR7-Gruppenrichtlinie vor der Bereitstellung dieses Updates nicht entfernen können. Der KIR verhindert den automatischen Wechsel zum Start-Manager 2023 und vermeidet den BitLocker-Wiederherstellungstrigger. Die KIR sollte vor der Installation des Updates auf betroffenen Geräten bereitgestellt werden. Wenden Sie sich an den Microsoft-Support für Unternehmen , um diese KIR zu erhalten.
Nächste Schritte
Eine dauerhafte Lösung für dieses Problem ist in einem zukünftigen Windows-Update geplant. Weitere Informationen werden bereitgestellt, sobald sie verfügbar sind.
Windows 10 Servicing Stack Update (KB5084130) – Version 19041.7183
Microsoft kombiniert jetzt das neueste Servicing Stack Update (SSU) für Ihr Betriebssystem mit dem neuesten kumulativen Update (LCU). SSUs verbessern die Zuverlässigkeit des Updateprozesses und enthalten Korrekturen für den Wartungsstapel, die Komponente, die Windows-Updates installiert.
Hinweis: Dieses Wartungsstapelupdate (Servicing Stack Update, SSU) enthält eine erweiterte Logik, um zu überprüfen, ob ein Gerät auf Azure gehostet wird, wobei eine aktualisierte Zertifikatkette für die Validierung genutzt wird. Um sicherzustellen, dass das Gerät auf die erforderlichen Zertifikatupdatedomänen zugreifen kann, um Zertifikatupdates erfolgreich herunterzuladen und zu installieren, lesen Sie Zertifikatdownloads und Sperrlisten und Azure Details der Zertifizierungsstelle. Weitere Informationen zu SSUs finden Sie unter Wartungsstapelupdates.
So erhalten Sie dieses Update
Vor der Installation dieses Updates
Wichtig Sie müssen das neueste Windows 10 Servicing Stack Update (SSU) installiert haben. Wenn Sie vor dem Anwenden von Windows-Updates nicht die neueste SSU installieren, kann dies dazu führen, dass das Windows-Update erst angeboten wird, wenn die neueste SSU installiert ist.
Wählen Sie basierend auf Ihrem Installationsszenario eine der folgenden Optionen aus:
-
Für die Offlinewartung von Betriebssystemimages:
Wenn Ihr Image nicht über die LCU vom 25. Juli 2023 (KB5028244) oder höher verfügt, müssen Sie das spezielle eigenständige SSU (KB5031539) vom 13. Oktober 2023 installieren, bevor Sie dieses Update installieren.
-
Für Windows Server Update Services (WSUS)-Bereitstellung oder bei der Installation des eigenständigen Pakets aus dem Microsoft Update-Katalog:
Wenn Ihre Geräte nicht über die LCU vom 11. Mai 2021 (KB5003173) oder höher verfügen, müssen Sie das spezielle eigenständige SSU (KB5005260) vom 10. August 2021 installieren, bevor Sie dieses Update installieren.
Installieren dieses Updates
Verwenden Sie zum Installieren dieses Updates einen der folgenden Windows- und Microsoft-Releasekanäle.
|
Verfügbar |
Nächster Schritt |
|
|
Dieses Update wird von Windows Update automatisch heruntergeladen und installiert. |
|
Verfügbar |
Nächster Schritt |
|
|
Dieses Update wird gemäß den konfigurierten Richtlinien automatisch von Windows Update for Business heruntergeladen und installiert. |
|
Verfügbar |
Nächster Schritt |
|
|
Um das eigenständige Paket für dieses Update zu erhalten, wechseln Sie zur Website des Microsoft Update-Katalogs . Informationen zum Herunterladen und Installieren von Updates aus dem Updatekatalog finden Sie unter Herunterladen von Updates, die Treiber und Hotfixes aus dem Windows Update-Katalog enthalten. |
|
Verfügbar |
Nächster Schritt |
|
|
Dieses Update wird automatisch mit Windows Server Update Services (WSUS) synchronisiert, wenn Sie Produkte und Klassifizierungen wie folgt konfigurieren:
Informationen zum Einrichten Ihres WSUS-Servers für die Synchronisierung basierend auf Produkten und Klassifizierungen finden Sie unter Synchronisieren von Updates nach Produkt und Klassifizierung. Informationen zum manuellen Importieren von Updates in WSUS finden Sie unter Importieren von Updates in WSUS mithilfe von PowerShell. |
Dateiinformationen
Eine Liste der Dateien, die in diesem Update enthalten sind, wird in einer CSV-Datei (durch Trennzeichen getrennt) (*.csv) bereitgestellt. Die Datei kann in einem Text-Editor wie Editor oder in Microsoft Excel geöffnet werden.
Hinweis: Die englische (USA) Version dieses Softwareupdates enthält möglicherweise Dateien für zusätzliche Sprachen.
Verwandte Informationen
Wenn Sie dieses Update entfernen möchten
VORSICHT Bevor Sie sich entscheiden, dieses Update zu entfernen, lesen Sie Grundlegendes zu den Risiken: Warum Sie Sicherheitsupdates nicht deinstallieren sollten.
Um die LCU nach der Installation des kombinierten SSU- und LCU-Pakets zu entfernen, verwenden Sie die Befehlszeilenoption DISM/Remove-Package mit dem LCU-Paketnamen als Argument. Sie können den Paketnamen mithilfe des folgenden Befehls ermitteln: DISM /online /get-packages.
Das Ausführen Windows Update eigenständigen Installers (wusa.exe) mit dem Schalter /uninstall im kombinierten Paket funktioniert nicht, da das kombinierte Paket das SSU enthält. Sie können die SSU nach der Installation nicht aus dem System entfernen.
Hinweis für Microsoft Store-Anwendungsupdates
Windows-Updates installieren keine Microsoft Store-Anwendungsupdates. Wenn Sie ein Unternehmensbenutzer sind, lesen Sie Microsoft Store-Apps – Configuration Manager. Wenn Sie ein Verbraucher sind, lesen Sie Abrufen von Updates für Apps und Spiele im Microsoft Store.
Informationen zum Ende des Supports
Windows 10, Versionen 21H2/22H2 und Windows 10 Enterprise LTSC 2021 Supportende
Microsoft stellt an den folgenden Endterminen keine kostenlosen Softwareupdates mehr über Windows Update, technische Unterstützung oder Sicherheitsupdates bereit:
♦ Windows 10, Version 21H2: Support endete am 13. Juni 2023
♦ Windows 10, Version 22H2: Support endete am 14. Oktober 2025
♦ Windows 10 Enterprise LTSC 2021: 12. Januar 2027
♦ Windows 10 IoT Enterprise LTSC 2021: 13. Januar 2032
Hinweis: Das Windows 10 Extended Security Updates (ESU) Programm endet am 13. Oktober 2026. Wir empfehlen, auf eine neuere Version von Windows zu aktualisieren.
