Gilt für
Windows 11 version 23H2, all editions

Veröffentlichungsdatum:

12.05.2026

Version:

Betriebssystembuild 22631.7079

Dieses kumulative Update für Windows 11 Version 23H2 (KB5087420) enthält die neuesten Sicherheitsupdates und -verbesserungen sowie nicht sicherheitsrelevante Updates aus der optionalen Vorschauversion des letzten Monats. Weitere Informationen zu den Unterschieden zwischen Sicherheitsupdates, optionalen nicht sicherheitsrelevanten Vorschauupdates, Out-of-Band-Updates (OOB) und kontinuierlichen Innovationen finden Sie unter Erläuterungen zu monatlichen Windows-Updates. Informationen zur Windows Update-Terminologie finden Sie unter den verschiedenen Arten von Windows-Softwareupdates.

Um die neuesten Updates zu diesem Release anzuzeigen, besuchen Sie die Dashboard für Windows-Releaseintegrität oder die Seite mit dem Updateverlauf für Windows 11, Version 23H2.

Tipp: Das Video dieses Monats ist im Artikel Windows 11, Version 25H2 und 24H2 verfügbar.

Ankündigungen und Nachrichten

Dieser Abschnitt enthält wichtige Benachrichtigungen zu diesem Release, einschließlich Ankündigungen, Änderungsprotokollen und Benachrichtigungen zum Ende des Supports.

Ablauf des Windows Secure Boot-Zertifikats

Wichtig:Die von den meisten Windows-Geräten verwendeten Secure Boot-Zertifikate laufen ab Juni 2026 ab. Microsoft aktualisiert diese Zertifikate seit einigen Monaten sowohl auf Geräten von Heimanwendern als auch auf nicht verwalteten Geschäftsgeräten. Geräte, die die neueren Zertifikate nicht erhalten haben, werden weiterhin normal gestartet und ausgeführt, und Standard-Updates für Windows werden weiterhin installiert. Wir werden die neueren Zertifikate in den kommenden Monaten weiterhin über Windows-Updates installieren.

Sie können den PC-Status auf der Windows-Sicherheit-App überprüfen. Wenn Sie IT-Admin sind, befolgen Sie die Anweisungen im Playbook für den sicheren Start für Windows-Clients und Windows Server.​​​​​​​

Datum ändern

Beschreibung ändern

9. Juni 2026

Revision des bekannten Problems: Die Problemumgehung für "Geräte mit einer nicht empfohlenen BitLocker-Gruppenrichtlinie Konfiguration sind möglicherweise erforderlich, um ihren BitLocker-Wiederherstellungsschlüssel einzugeben"

20. Mai 2026

Der Link "Microsoft Update-Katalog" wurde korrigiert und verweist nicht auf das Update vom 14. April 2026, sondern auf das Update vom 12. Mai 2026.

13. Mai 2026

Releasehinweis zum sicheren Start hinzugefügt: Dieses Update fügt einen neuen ordner SecureBoot unter C:\Windowsauf berechtigten Geräten hinzu.

Verbesserungen

Dieses Update behebt Sicherheitsprobleme für Ihr Windows-Betriebssystem. ​​​​​​​

Wichtig: Verwenden Sie EKB-KB5027397, um auf Windows 11 Version 23H2 zu aktualisieren.

Dieses Sicherheitsupdate enthält Korrekturen und Qualitätsverbesserungen aus KB5082052 (veröffentlicht am 14. April 2026). In der folgenden Zusammenfassung werden die wichtigsten Probleme beschrieben, die mit diesem Update behoben werden. Darüber hinaus sind neue Features verfügbar. Der fett formatierte Text in den Klammern gibt das Element oder den Bereich der Änderung an.

  • [Sicherer Start] 

    • Mit diesem Update umfassen Windows-Qualitätsupdates zusätzliche Hochzuversichts-Gerätezieldaten, die die Abdeckung von Geräten erhöhen, die automatisch neue Zertifikate für den sicheren Start erhalten können. Geräte erhalten die neuen Zertifikate nur nach dem Nachweis ausreichender erfolgreicher Updatesignale, wobei ein kontrollierter und stufenweiser Rollout aufrechterhalten wird. ​​​​​​​

    • Dieses Update fügt einen neuen SecureBootOrdner unter C:\Windowsauf berechtigten Geräten hinzu. Der Ordner enthält Beispielskripts für Organisationen mit IT-Experten, die Updates in ihrer Geräteflotte aktiv verwalten. Diese Skripts können verwendet werden, um die Aktualisierung des Zertifikats für den sicheren Start status zu erkennen und die Bereitstellung über einen sicheren Rolloutmechanismus in einer Active Directory-Umgebung zu automatisieren. Weitere Informationen finden Sie unter Beispiel für die E2E-Automatisierung für den sicheren Start.

  • [Country and Operator Settings Asset (COSA)]Dieses Update bringt Profile für bestimmte Mobilfunkanbieter auf den neuesten Stand.

  • [Sommerzeit (DST)] Dieses Update unterstützt die DST-Änderung 2023 für die Arabische Republik Ägypten.

  • [Enterprise State Roaming (ESR)] ESR kann jetzt über richtlinien für Windows-Sicherung für Organisationen verwaltet werden. Dies erleichtert IT-Administratoren die Einrichtung. Weitere Informationen finden Sie unter Enterprise State Roaming.

  • [Microsoft Defender SmartScreen] Dieses Update ermöglicht es Microsoft Defender SmartScreen in der Windows-Shell, Dateihashes für nicht signierte Dateien zu senden. Diese Unterstützung ermöglicht Es SmartScreen, neuere Reputationsmodelle zu verwenden, und verbessert die Qualität von Anwendungszulässigkeitsprüfungen.

  • Remotedesktop (bekanntes Problem)] Behoben: Dieses Update behebt ein Problem, das sich auf das Sicherheitswarnungsdialogfeld der Remotedesktopverbindung auswirkt. Das Dialogfeld kann in Szenarios mit mehreren Monitoren falsch gerendert werden, wenn für die Monitore ein anderer Skalierungssatz festgelegt wurde. Dies kann nach der Installation des Sicherheitsupdates vom April 2026 (KB5082052) auftreten. Weitere Informationen finden Sie unter Grundlegendes zu Sicherheitswarnungen beim Öffnen von Remotedesktopdateien (RDP).

Wenn Sie bereits vorherige Updates installiert haben, lädt Ihr Gerät nur die neuen Updates herunter und installiert sie, die in diesem Paket enthalten sind.

Weitere Informationen zu Sicherheitsrisiken finden Sie im Sicherheitsupdatehandbuchund im Sicherheitsupdate vom Mai 2026.

Windows 11 Servicing Stack Update (KB5086307) – 22621.6937

Dieses Update enthält qualitative Verbesserungen am Wartungsstapel, bei dem es sich um die Komponente handelt, die Windows-Updates installiert. SSU (Servicing Stack Updates) stellen sicher, dass Sie über einen robusten und zuverlässigen Wartungsstapel verfügen, damit Ihre Geräte Microsoft-Updates erhalten und installieren können. Weitere Informationen zu SSUs finden Sie unter Vereinfachen der lokalen Bereitstellung von Wartungsstapelupdates.

Bekannte Probleme in diesem Update

Symptom

Einige Geräte mit einer nicht empfohlenen BitLocker-Gruppenrichtlinienkonfiguration sind möglicherweise erforderlich, um ihren BitLocker-Wiederherstellungsschlüssel beim ersten Neustart nach der Installation dieses Updates einzugeben.

Dieses Problem betrifft nur eine begrenzte Anzahl von Systemen, bei denen ALLE der folgenden Bedingungen zutreffen. Diese Bedingungen werden wahrscheinlich nicht auf persönlichen Geräten gefunden, die nicht von IT-Abteilungen verwaltet werden.

  1. BitLocker ist auf dem Betriebssystemlaufwerk aktiviert.

  2. Die Gruppenrichtlinie „TPM-Plattformüberprüfungsprofil für native UEFI-Firmwarekonfigurationen konfigurieren“ ist konfiguriert, und PCR7 ist im Validierungsprofil enthalten (oder der entsprechende Registrierungsschlüssel wurde manuell festgelegt).

  3. Systeminformationen (msinfo32.exe) melden für die Bindung des sicheren PCR7-Startzustands „Nicht möglich“.

  4. Das Windows UEFI CA 2023-Zertifikat ist in der Datenbank (DB) für die sichere Startsignatur des Geräts vorhanden, sodass das Gerät als Standard für den 2023 signierten Windows-Start-Manager berechtigt ist.

  5. Auf dem Gerät wird noch nicht der 2023 signierte Windows-Start-Manager ausgeführt.

In diesem Szenario muss der BitLocker-Wiederherstellungsschlüssel nur einmal eingegeben werden. Nachfolgende Neustarts lösen keinen BitLocker-Wiederherstellungsbildschirm aus, solange die Gruppenrichtlinienkonfiguration unverändert bleibt. Hilfe bei der Suche nach Ihrem BitLocker-Wiederherstellungsschlüssel finden Sie im Artikel Suchen Ihres BitLocker-Wiederherstellungsschlüssels.

Unternehmen wird empfohlen, ihre BitLocker-Gruppenrichtlinien auf explizite PCR7-Einbindung zu überprüfen und msinfo32.exe auf ihre PCR7-Bindungsstatus zu überprüfen, bevor Sie dieses Update installieren. (Siehe Problemumgehung unten.)

Problemumgehung 

Dieses Problem wird in KB5093998 behoben. Nach der Installation von KB5093998  werden Geräte mit dieser inkompatiblen Gruppenrichtlinienkonfiguration daran gehindert, den mit 2023 signierten Windows-Start-Manager zu installieren. Wenn Ihr Gerät betroffen war, wird die Ereignis-ID 1032 bei der Installation von Windows-Updates im Systemereignisprotokoll angezeigt: "Der Start-Manager für sicheres Startupdate (2023) wurde aufgrund einer bekannten Inkompatibilität mit der aktuellen BitLocker-Konfiguration nicht angewendet."

Wenn Sie die Ereignis-ID 1032 erhalten, empfiehlt Microsoft dringend, die Gruppenrichtlinie Konfiguration vor der Installation von Updates zu entfernen, damit Sie den 2023-signierten Windows-Start-Manager installieren und weiterhin die neuesten Schutzmechanismen für den sicheren Start erhalten können.

Entfernen der Gruppenrichtlinie-Konfiguration vor der Installation des Updates (empfohlen) 

  1. Öffnen Sie den Gruppenrichtlinieneditor (gpedit.msc) oder Ihre Gruppenrichtlinien-Verwaltungskonsole.

  2. Navigieren Sie zu: Computerkonfiguration > Administrative Vorlagen > Windows-Komponenten > BitLocker-Laufwerkverschlüsselung > Betriebssystemlaufwerke.

  3. Legen Sie „TPM-Plattformvalidierungsprofil für native UEFI-Firmwarekonfigurationen konfigurieren“ auf „Nicht konfiguriert“ fest.

  4. Führen Sie den folgenden Befehl auf betroffenen Geräten aus, um die Richtlinienänderung zu verteilen: gpupdate /force

  5. Führen Sie den folgenden Befehl aus, um BitLocker anzusetzen (wenn BitLocker auf Laufwerk C: aktiviert ist): manage-bde -protectors -disable C:

  6. Führen Sie den folgenden Befehl aus, um BitLocker fortzusetzen (wenn BitLocker auf Laufwerk C: aktiviert ist): manage-bde -protectors -enable C:

  7. Dadurch werden die BitLocker-Bindungen aktualisiert, um das von Windows ausgewählte PCR-Standardprofil zu verwenden.

Wenn Sie diese Gruppenrichtlinie Konfiguration nicht entfernen möchten, können Sie den neuen Windows-Start-Manager installieren, indem Sie BitLocker vorübergehend anhalten und das Update für den sicheren Start installieren. Gehen Sie wie folgt vor:

  1. Führen Sie den folgenden Befehl aus, um BitLocker anzusetzen (wenn BitLocker auf Laufwerk C: aktiviert ist): manage-bde -protectors -disable C:

  2. Führen Sie den folgenden Befehl aus: Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

  3. Starten Sie das Gerät neu.

  4. Nachdem der neue Windows-Start-Manager erfolgreich installiert wurde, aktivieren Sie BitLocker, indem Sie den Befehl manage-bde -protectors -enable C ausführen:

So erhalten Sie dieses Update

Vor der Installation dieses Updates

Microsoft kombiniert das neueste Servicing Stack Update (SSU) für Ihr Betriebssystem mit dem neuesten kumulativen Update (LCU). Allgemeine Informationen zu SSUs finden Sie unter Wartungsstapelupdates.

Installieren dieses Updates

Verwenden Sie zum Installieren dieses Updates einen der folgenden Windows- und Microsoft-Releasekanäle.

Verfügbar

Nächster Schritt

Enthalten

Dieses Update wird automatisch von Windows Update und Microsoft Update heruntergeladen und installiert.

Wenn Sie dieses Update entfernen möchten

Bevor Sie sich entscheiden, dieses Update zu entfernen, lesen Sie Grundlegendes zu den Risiken: Warum Sie Sicherheitsupdates nicht deinstallieren sollten.

Um die LCU nach der Installation des kombinierten SSU- und LCU-Pakets zu entfernen, verwenden Sie die Befehlszeilenoption DISM/Remove-Package mit dem LCU-Paketnamen als Argument. Sie können den Paketnamen mithilfe des folgenden Befehls ermitteln: DISM /online /get-packages.

Das Ausführen Windows Update eigenständigen Installers (wusa.exe) mit dem Schalter /uninstall im kombinierten Paket funktioniert nicht, da das kombinierte Paket das SSU enthält. Sie können die SSU nach der Installation nicht aus dem System entfernen.

Dateiinformationen

Um eine Liste der in diesem Update bereitgestellten Dateien zu erhalten, laden Sie die Dateiinformationen für kumulative Update-5087420 herunter.   

Um eine Liste der Dateien zu erhalten, die im Wartungsstapelupdate bereitgestellt werden, laden Sie die Dateiinformationen für die SSU (KB5086307) herunter– Versionen 22621.6937

Verwandte Themen

Microsoft Store für Unternehmen und Bildung mit Configuration Manager

Updates für Apps und Spiele aus dem Microsoft Store abrufen

Facebook LinkedIn E-Mail
RSS-FEEDS ABONNIEREN

Benötigen Sie weitere Hilfe?

Möchten Sie weitere Optionen?

Erkunden Sie die Abonnementvorteile, durchsuchen Sie Trainingskurse, erfahren Sie, wie Sie Ihr Gerät schützen und vieles mehr.

Vorteile des Microsoft 365-Abonnements

Microsoft 365-Training

Microsoft Security

Barrierefreiheitscenter