14. April 2026 – KB5082142 (Betriebssystembuild 20348.5020)

Gilt für
Windows Server 2022

Dieses kumulative Update für Windows Server 2022 (KB5082142) enthält die neuesten Sicherheitsupdates und -verbesserungen sowie nicht sicherheitsrelevante Updates aus der optionalen Vorschauversion des letzten Monats. Weitere Informationen zu den Unterschieden zwischen Sicherheitsupdates, optionalen nicht sicherheitsrelevanten Vorschauupdates, Out-of-Band-Updates (OOB) und kontinuierlichen Innovationen finden Sie unter Erläuterungen zu monatlichen Windows-Updates. Informationen zur Windows Update-Terminologie finden Sie unter den verschiedenen Arten von Windows-Softwareupdates.

Um die neuesten Updates zu diesem Release anzuzeigen, besuchen Sie die Dashboard für Windows-Release oder die Seite mit dem Updateverlauf für Windows Server 2022.

Ankündigungen und Nachrichten

Dieser Abschnitt enthält wichtige Benachrichtigungen zu diesem Release, einschließlich Ankündigungen, Änderungsprotokollen und Benachrichtigungen zum Ende des Supports.

Ablauf des Windows Secure Boot-Zertifikats

Hinweis

  • Ablauf des Windows Secure Boot-Zertifikats
  • Wichtig: Sichere Startzertifikate, die von den meisten Windows-Geräten verwendet werden, laufen ab Juni 2026 ab. Microsoft aktualisiert diese Zertifikate seit einigen Monaten sowohl auf Geräten von Heimanwendern als auch auf nicht verwalteten Geschäftsgeräten. Geräte, die die neueren Zertifikate nicht erhalten haben, werden weiterhin normal gestartet und funktionieren normal, und Standardmäßige Windows-Updates werden weiterhin installiert. Wir werden die neueren Zertifikate in den kommenden Monaten weiterhin über Windows-Updates installieren.
  • Sie können Ihren PC status in der Windows-Sicherheit-App überprüfen. Wenn Sie IT-Administrator sind, befolgen Sie die Anleitungen im Playbook für den sicheren Start für Windows-Clients und Windows Server.
Änderungsprotokoll
Datum ändern Beschreibung ändern
7. Mai 2026 Die Lösung wurde dem bekannten Problem "Warnungen im Zusammenhang mit Remotedesktop werden möglicherweise nicht ordnungsgemäß angezeigt" hinzugefügt.
1. Mai 2026
  • Verbesserung hinzugefügt: [Sperrliste für anfällige Treiber]
27. April 2026 Das bekannte Problem "Warnungen im Zusammenhang mit Remotedesktop werden möglicherweise nicht ordnungsgemäß angezeigt" korrigiert.
23. April 2026 Bekannte Probleme hinzugefügt: "Warnungen im Zusammenhang mit Remotedesktop werden möglicherweise nicht ordnungsgemäß angezeigt"
21. April 2026 Bekanntes Problem aktualisiert: "Geräte mit einer nicht empfohlenen BitLocker-Gruppenrichtlinie-Konfiguration sind möglicherweise erforderlich, um ihren BitLocker-Wiederherstellungsschlüssel einzugeben"
19. April 2026 Die Lösung wurde dem bekannten Problem "Domänencontroller können nach der Installation dieses Updates wiederholt neu gestartet werden" hinzugefügt.
17. April 2025 Das bekannte Problem "Domänencontroller können nach der Installation dieses Updates wiederholt neu gestartet werden" wurde zur Klärung aktualisiert.
16. April 2026 Bekanntes Problem hinzugefügt: "Domänencontroller können nach der Installation dieses Updates wiederholt neu gestartet werden"
14. April 2026 Bekanntes Problem hinzugefügt: "Geräte mit einer nicht empfohlenen BitLocker-Gruppenrichtlinie-Konfiguration sind möglicherweise erforderlich, um ihren BitLocker-Wiederherstellungsschlüssel einzugeben"

Verbesserungen

Dieses Sicherheitsupdate enthält Korrekturen und Qualitätsverbesserungen aus KB5078766 (veröffentlicht am 10. März 2026). In der folgenden Zusammenfassung werden die wichtigsten Probleme beschrieben, die mit diesem Update behoben werden. Darüber hinaus sind neue Features verfügbar. Der fett formatierte Text in den Klammern gibt das Element oder den Bereich der Änderung an.

  • [Konnektivität] Dieses Update verbessert die Zuverlässigkeit der Audiofeatures in Windows und trägt dazu bei, dass das System aufgrund von Sound- oder Audioaktivitäten nicht reagiert.

  • [Kernel] Dieses Update verbessert die Systemstabilität bei großen Dateivorgängen. Benutzer sollten weniger unerwartete Unterbrechungen erleben, wenn sie mit großen Dateien arbeiten oder diese übertragen.

  • [Kerberos-Protokoll] Mit diesem Update wird der Standardwert DefaultDomainSupportedEncTypes für KDC-Vorgänge (Kerberos Key Distribution Center) so geändert, dass AES-SHA1 für Konten genutzt wird, für die kein explizites Active Directory-Attribut msds-SupportedEncryptionTypes definiert ist. Weitere Informationen finden Sie unter How to manage Kerberos KDC usage of RC4 for service account ticket issuance changes related to CVE-2026-20833.For more information see How to manage Kerberos KDC usage of RC4 for service account ticket issuance changes related to CVE-2026-20833.

  • [Netzwerk] Dieses Update verbessert die Zuverlässigkeit, wenn Windows die SMB-Komprimierung über QUIC verwendet. Nach der Installation dieses Updates werden SMB-Komprimierungsanforderungen über QUIC konsistenter abgeschlossen, wodurch die Wahrscheinlichkeit von Timeouts verringert und eine reibungslosere, zuverlässigere Leistung unterstützt wird.

  • [Remotedesktop] Dieses Update verbessert den Schutz vor Phishingangriffen, die Remotedesktopdateien (RDP)-Dateien verwenden. Wenn Sie eine RDP-Datei öffnen, zeigt Remotedesktop alle angeforderten Verbindungseinstellungen an, bevor eine Verbindung hergestellt wird, wobei jede Einstellung standardmäßig deaktiviert ist. Eine einmalige Sicherheitswarnung wird auch angezeigt, wenn Sie zum ersten Mal eine RDP-Datei auf einem Gerät öffnen. Weitere Informationen finden Sie unter Grundlegendes zu Sicherheitswarnungen beim Öffnen von Remotedesktopdateien (RDP).

  • [Sicherer Start]

    • Mit diesem Update umfassen Windows-Qualitätsupdates zusätzliche Hochzuversichts-Gerätezieldaten, die die Abdeckung von Geräten erhöhen, die automatisch neue Zertifikate für den sicheren Start erhalten können. Geräte erhalten die neuen Zertifikate nur nach dem Nachweis ausreichender erfolgreicher Updatesignale, wobei ein kontrollierter und stufenweiser Rollout aufrechterhalten wird.
    • Dieses Update behebt ein Problem, bei dem das Gerät nach den Updates für den sicheren Start möglicherweise in die BitLocker-Wiederherstellung wechselt.
  • [Texte und Schriftarten] Dieses Update verbessert Windows-Schriftarten, indem das neue Saudi Riyal-Währungssymbol hinzugefügt wird. Diese Änderung trägt dazu bei, dass Text in Ihren Windows-Apps und -Umgebungen klar, präzise und visuell konsistent bleibt.

  • [Sperrliste für anfällige Treiber] Dieses Update führt eine Änderung zur Sicherheitshärtung ein, die bekannte anfällige Kerneltreiber zur Sperrliste anfälliger Microsoft-Treiber hinzufügt. Bei Sicherungsanwendungen, die auf blockierten Treibern basieren, kann es beim Versuch, Datenträgerimages bereitzustellen oder zu verwalten, Fehler auftreten.
    Diese Apps, die auf blockierten Treibern angewiesen sind, zeigen möglicherweise Fehlermeldungen an, z. B. "Fehler bei der Sicherung, weil Microsoft VSS während der erstellung des Momentaufnahme ein Timeout aufgetreten ist" oder VSS_E_BAD_STATE. Betroffene Benutzer sollten auf eine neuere Version ihrer Anwendung aktualisieren, die neuere Treiber verwendet, die die erforderlichen Schutzmaßnahmen enthalten. Weitere Informationen finden Sie unter April 2026: Windows-Sicherheitsupdates führen Schutzmaßnahmen für bekannte anfällige Kerneltreiber ein.

  • [Windows-Bereitstellungsdienste (WDS)] Dieses Update deaktiviert standardmäßig das Feature "Hands-Free Deployment" in WDS und wird nicht mehr unterstützt. Weitere Informationen zu dieser Änderung finden Sie unter Windows Deployment Services (WDS) Hands-Free Leitfaden zur Bereitstellungshärtung in Bezug auf CVE-2026-0386.

Wenn Sie bereits vorherige Updates installiert haben, lädt Ihr Gerät nur die neuen Updates herunter und installiert sie, die in diesem Paket enthalten sind.

Weitere Informationen zu Sicherheitsrisiken finden Sie im Sicherheitsupdatehandbuch und im Security Updates vom April 2026.

Windows Server Wartungsstapelupdate 2022 (KB5082137) –20348.5021

Dieses Update enthält qualitative Verbesserungen am Wartungsstapel, bei dem es sich um die Komponente handelt, die Windows-Updates installiert. SSU (Servicing Stack Updates) stellen sicher, dass Sie über einen robusten und zuverlässigen Wartungsstapel verfügen, damit Ihre Geräte Microsoft-Updates erhalten und installieren können. Weitere Informationen zu SSUs finden Sie unter Vereinfachen der lokalen Bereitstellung von Wartungsstapelupdates.

Bekannte Probleme bei diesem Update

Domänencontroller werden nach der Installation dieses Updates möglicherweise wiederholt neu gestartet.

Problembeschreibung

Nach der Installation dieses Updates kann es bei Domänencontrollern in Umgebungen mit mehreren Domänen in der Gesamtstruktur, die Privileged Access Management (PAM) verwenden, während des Starts zu LSASS-Abstürzen kommen. Dies führt dazu, dass betroffene Domänencontroller wiederholt neu gestartet werden, sodass die Authentifizierungs- und Verzeichnisdienste nicht mehr funktionieren und die Domäne möglicherweise nicht mehr verfügbar ist.

Lösung

Dieses Problem wird in Out-of-Band-Update-KB5091575 behoben.

Hinweis

Wenn Ihr Windows Server 2022-Gerät beim Hotpatching registriert ist, sollten Sie stattdessen das OOB-Hotpatch-Update KB5091576 installieren. Dieses Hotpatch-OOB-Update wird über Windows Update veröffentlicht und erfordert keinen Neustart des Geräts.

Geräte mit einer nicht empfohlenen BitLocker-Gruppenrichtlinie-Konfiguration sind möglicherweise erforderlich, um ihren BitLocker-Wiederherstellungsschlüssel einzugeben.

Problembeschreibung

Einige Geräte mit einer nicht empfohlenen BitLocker-Gruppenrichtlinienkonfiguration sind möglicherweise erforderlich, um ihren BitLocker-Wiederherstellungsschlüssel beim ersten Neustart nach der Installation dieses Updates einzugeben.

Dieses Problem betrifft nur eine begrenzte Anzahl von Systemen, bei denen ALLE der folgenden Bedingungen zutreffen. Diese Bedingungen werden wahrscheinlich nicht auf persönlichen Geräten gefunden, die nicht von IT-Abteilungen verwaltet werden.

  1. BitLocker ist auf dem Betriebssystemlaufwerk aktiviert.
  2. Die Gruppenrichtlinie „TPM-Plattformüberprüfungsprofil für native UEFI-Firmwarekonfigurationen konfigurieren“ ist konfiguriert, und PCR7 ist im Validierungsprofil enthalten (oder der entsprechende Registrierungsschlüssel wurde manuell festgelegt).
  3. Systeminformationen (msinfo32.exe) melden für die Bindung des sicheren PCR7-Startzustands „Nicht möglich“.
  4. Das Windows UEFI CA 2023-Zertifikat ist in der Datenbank (DB) für die sichere Startsignatur des Geräts vorhanden, sodass das Gerät als Standard für den 2023 signierten Windows-Start-Manager berechtigt ist.
  5. Auf dem Gerät wird noch nicht der 2023 signierte Windows-Start-Manager ausgeführt.

In diesem Szenario muss der BitLocker-Wiederherstellungsschlüssel nur einmal eingegeben werden. Nachfolgende Neustarts lösen keinen BitLocker-Wiederherstellungsbildschirm aus, solange die Gruppenrichtlinienkonfiguration unverändert bleibt. Hilfe bei der Suche nach Ihrem BitLocker-Wiederherstellungsschlüssel finden Sie im Artikel Suchen Ihres BitLocker-Wiederherstellungsschlüssels.

Unternehmen wird empfohlen, ihre BitLocker-Gruppenrichtlinien auf explizite PCR7-Einbindung zu überprüfen und msinfo32.exe auf ihre PCR7-Bindungsstatus zu überprüfen, bevor Sie dieses Update installieren. (Siehe Problemumgehung unten.)

Problemumgehung

Entfernen der Gruppenrichtlinie-Konfiguration vor der Installation des Updates (empfohlen)

  1. Öffnen Sie den Gruppenrichtlinieneditor (gpedit.msc) oder Ihre Gruppenrichtlinien-Verwaltungskonsole.
  2. Navigieren Sie zu: Computerkonfiguration > Administrative Vorlagen > Windows-Komponenten > BitLocker-Laufwerkverschlüsselung > Betriebssystemlaufwerke.
  3. Legen Sie „TPM-Plattformvalidierungsprofil für native UEFI-Firmwarekonfigurationen konfigurieren“ auf „Nicht konfiguriert“ fest.
  4. Führen Sie den folgenden Befehl auf betroffenen Geräten aus, um die Richtlinienänderung zu verteilen: gpupdate /force
  5. Führen Sie den folgenden Befehl aus, um BitLocker anzusetzen (wobei BitLocker auf Laufwerk C: aktiviert ist): manage-bde -protectors -disable C:
  6. Führen Sie den folgenden Befehl aus, um BitLocker fortzusetzen (wobei BitLocker auf Laufwerk C: aktiviert ist): manage-bde -protectors -enable C:
  7. Dadurch werden die BitLocker-Bindungen aktualisiert, um das von Windows ausgewählte PCR-Standardprofil zu verwenden.

Eine dauerhafte Lösung für dieses Problem ist in einem zukünftigen Windows-Update geplant. Weitere Informationen werden bereitgestellt, sobald sie verfügbar sind.

Windows Server Update Services (WSUS) zeigt keine Fehlerdetails an

Nach der Installation von KB5070884 oder späterer Updates zeigt Windows Server Update Services (WSUS) keine Details zu Synchronisierungsfehlern in der Fehlerberichterstattung an. Diese Funktion wird vorübergehend entfernt, um die Sicherheitsanfälligkeit in Remotecodeausführung CVE-2025-59287 zu beheben.

Warnungen im Zusammenhang mit Remotedesktop werden möglicherweise nicht ordnungsgemäß angezeigt

Symptome

Nach der Installation dieses Updates wird die Sicherheitswarnung , die beim Öffnen von Remotedesktopdateien (RDP) angezeigt wird, in einigen Fällen möglicherweise nicht ordnungsgemäß angezeigt.

Dieses Problem kann auftreten, wenn Sie mehr als einen Monitor mit unterschiedlichen Anzeigeskalierungseinstellungen verwenden (z. B. eine Anzeige, die auf 100 % und eine andere auf 125 % festgelegt ist). In diesem Fall zeigt das Warnfenster möglicherweise überlappenden Text oder teilweise ausgeblendete Schaltflächen an, was das Lesen oder Interagieren der Nachricht erschweren kann.

Problemumgehung

Dieses Problem wird in KB5087545 behoben.

So erhalten Sie dieses Update

Vor der Installation dieses Updates

Microsoft kombiniert jetzt das neueste Servicing Stack Update (SSU) für Ihr Betriebssystem mit dem neuesten kumulativen Update (LCU). Allgemeine Informationen zu SSUs finden Sie unter Wartungsstapelupdates.

Voraussetzung für die Offlinewartung von Betriebssystemimages:

Stellen Sie sicher, dass Ihr Image KB5030216 (12.09.2023) oder eine höhere LCU enthält. Wenn nicht, installieren Sie es auf Ihren Offlinemedien, bevor Sie das neueste Update installieren. Diese LCU aktualisiert die SSU-Version auf 20348.1960. Dies ist die SSU-Mindestversion, die Sie benötigen, um Fehler 0x800f0823 (CBS_E_NEW_SERVICING_STACK_REQUIRED) zu verhindern.

Dieses Update installieren

Verwenden Sie zum Installieren dieses Updates einen der folgenden Windows- und Microsoft-Releasekanäle.


Verfügbar Nächster Schritt
Enthalten Dieses Update wird automatisch von Windows Update und Microsoft Update heruntergeladen und installiert.

Hinweis

Dateiinformationen

Um eine Liste der in diesem Update bereitgestellten Dateien zu erhalten, laden Sie die Dateiinformationen für kumulative Updates 5082142 herunter.

Um eine Liste der Dateien zu erhalten, die im Wartungsstapelupdate bereitgestellt werden, laden Sie die Dateiinformationen für die SSU (KB5082137) - Version 20348.5021 herunter.