Gilt für
Windows Server 2022

Veröffentlichungsdatum:

09.06.2026

Version:

Betriebssystembuild 20348.5256

Dieses kumulative Update für Windows Server 2022 (KB5094128) enthält die neuesten Sicherheitsupdates und -verbesserungen sowie nicht sicherheitsrelevante Updates aus der optionalen Vorschauversion des letzten Monats. Weitere Informationen zu den Unterschieden zwischen Sicherheitsupdates, optionalen nicht sicherheitsrelevanten Vorschauupdates, Out-of-Band-Updates (OOB) und kontinuierlichen Innovationen finden Sie unter Erläuterungen zu monatlichen Windows-Updates. Informationen zur Windows Update-Terminologie finden Sie unter den verschiedenen Arten von Windows-Softwareupdates

Um die neuesten Updates zu diesem Release anzuzeigen, besuchen Sie die Dashboard für Windows-Release oder die Seite mit dem Updateverlauf für Windows Server 2022.

Ankündigungen und Nachrichten

Dieser Abschnitt enthält wichtige Benachrichtigungen zu diesem Release, einschließlich Ankündigungen, Änderungsprotokollen und Benachrichtigungen zum Ende des Supports. 

Ablauf des Windows Secure Boot-Zertifikats

Wichtig:Die von den meisten Windows-Geräten verwendeten Secure Boot-Zertifikate laufen ab Juni 2026 ab. Microsoft hat diese Zertifikate in den letzten Monaten auf Consumer- und nicht verwalteten Geschäftsgeräten aktualisiert. Geräte, die die neueren Zertifikate nicht erhalten haben, werden weiterhin normal gestartet und funktionieren normal, und Standardmäßige Windows-Updates werden weiterhin installiert. Aktualisierte Zertifikate werden in den kommenden Monaten weiterhin über Windows Update bereitgestellt.

Datum ändern

Beschreibung ändern

10. Juni 2026

Update: Ordneranpassung hinzugefügt.

Verbesserungen

Dieses Sicherheitsupdate enthält Korrekturen und Qualitätsverbesserungen aus KB5087545 (veröffentlicht am 12. Mai 2026). In der folgenden Zusammenfassung werden die wichtigsten Probleme beschrieben, die mit diesem Update behoben werden. Darüber hinaus sind neue Features verfügbar. Der fett formatierte Text in den Klammern gibt das Element oder den Bereich der Änderung an.

  • [Sicherer Start]

    • Mit diesem Update umfassen Windows-Qualitätsupdates zusätzliche Hochzuversichts-Gerätezieldaten, die die Abdeckung von Geräten erhöhen, die automatisch neue Zertifikate für den sicheren Start erhalten können. Geräte erhalten die neuen Zertifikate nur nach dem Nachweis ausreichender erfolgreicher Updatesignale, wobei ein kontrollierter und stufenweiser Rollout aufrechterhalten wird.

    • Dieses Update fügt die Einstellung LimitSecureBootRequiredServiceData Gruppenrichtlinie und Mobile Device Management (MDM) unter Computerkonfiguration > Administrative Vorlagen > Windows-Komponenten > sicheren Start hinzu.  Wenn diese Option aktiviert ist, schränkt Windows die daten des diensts für den sicheren Start ein, indem das Ereignis unterdrückt wird, das normalerweise an Microsoft gesendet wird. Diese Richtlinie ist in der Baseline für eingeschränkte Funktionalität für eingeschränkten Windows-Datenverkehr enthalten. Informationen zur Richtlinie finden Sie unter Verwalten von Verbindungen von Windows 10 und Windows 11 Betriebssystemkomponenten mit Microsoft-Diensten

  • [App]Dieses Update verbessert die Sichtbarkeit und Zuverlässigkeit der Gerätesicherheit, indem echtzeitbasierte status Updates für den sicheren Start in der Windows-Sicherheit-App aktiviert werden.

  • [Explorer] Dieses Update verbessert Explorer Suche, einschließlich Unterstützung für chinesischen Text und UTF 8-codierte Dateien ohne Bytereihenfolgemarkierung (BOM). Text wird jetzt in suchergebnissen, inhaltsansichten und quickinfos übersichtlicher und konsistenter angezeigt.

  • [Texte und Schriftarten]Dieses Update verbessert Windows-Schriftarten, indem das neue Saudi Riyal-Währungssymbol hinzugefügt wird. Diese Änderung trägt dazu bei, dass Text in Ihren Windows-Apps und -Umgebungen klar, präzise und visuell konsistent bleibt.

  • [Ordneranpassung] Dieses Update führt eine Änderung der Sicherheitshärtung für die Verarbeitung von desktop.ini Dateien durch Windows ein. Daher bemerken einige Benutzer möglicherweise fehlende benutzerdefinierte Ordnersymbole oder lokalisierte Ordnernamen für Inhalte von heruntergeladenen oder Remotespeicherorten. Beachten Sie, dass der Zugriff auf Ordner nicht betroffen ist. Weitere Informationen finden Sie unter Benutzerdefinierte Ordnersymbole oder lokalisierte Ordnernamen werden nach der Installation des Windows-Sicherheitsupdates vom Juni 2026 möglicherweise nicht angezeigt.

Wenn Sie bereits vorherige Updates installiert haben, lädt Ihr Gerät nur die neuen Updates herunter und installiert sie, die in diesem Paket enthalten sind.

Weitere Informationen zu Sicherheitsrisiken finden Sie im Leitfaden zu Sicherheitsupdates und im Security Updates vom Juni 2026.

Wartungsstapelupdate für Windows Server 2022 (KB5094147) –20348.5251

Dieses Update enthält qualitative Verbesserungen am Wartungsstapel, bei dem es sich um die Komponente handelt, die Windows-Updates installiert. SSU (Servicing Stack Updates) stellen sicher, dass Sie über einen robusten und zuverlässigen Wartungsstapel verfügen, damit Ihre Geräte Microsoft-Updates erhalten und installieren können. Weitere Informationen zu SSUs finden Sie unter Vereinfachen der lokalen Bereitstellung von Wartungsstapelupdates.

Bekannte Probleme bei diesem Update

Symptom

Einige Geräte mit einer nicht empfohlenen BitLocker-Gruppenrichtlinienkonfiguration sind möglicherweise erforderlich, um ihren BitLocker-Wiederherstellungsschlüssel beim ersten Neustart nach der Installation dieses Updates einzugeben.

Dieses Problem betrifft nur eine begrenzte Anzahl von Systemen, bei denen ALLE der folgenden Bedingungen zutreffen. Diese Bedingungen werden wahrscheinlich nicht auf persönlichen Geräten gefunden, die nicht von IT-Abteilungen verwaltet werden.

  1. BitLocker ist auf dem Betriebssystemlaufwerk aktiviert.

  2. Die Gruppenrichtlinie „TPM-Plattformüberprüfungsprofil für native UEFI-Firmwarekonfigurationen konfigurieren“ ist konfiguriert, und PCR7 ist im Validierungsprofil enthalten (oder der entsprechende Registrierungsschlüssel wurde manuell festgelegt).

  3. Systeminformationen (msinfo32.exe) melden für die Bindung des sicheren PCR7-Startzustands „Nicht möglich“.

  4. Das Windows UEFI CA 2023-Zertifikat ist in der Datenbank (DB) für die sichere Startsignatur des Geräts vorhanden, sodass das Gerät als Standard für den 2023 signierten Windows-Start-Manager berechtigt ist.

  5. Auf dem Gerät wird noch nicht der 2023 signierte Windows-Start-Manager ausgeführt.

In diesem Szenario muss der BitLocker-Wiederherstellungsschlüssel nur einmal eingegeben werden. Nachfolgende Neustarts lösen keinen BitLocker-Wiederherstellungsbildschirm aus, solange die Gruppenrichtlinienkonfiguration unverändert bleibt. Hilfe bei der Suche nach Ihrem BitLocker-Wiederherstellungsschlüssel finden Sie im Artikel „Suchen Ihres BitLocker-Wiederherstellungsschlüssels“.

Unternehmen wird empfohlen, ihre BitLocker-Gruppenrichtlinien auf explizite PCR7-Einbindung zu überprüfen und msinfo32.exe auf ihre PCR7-Bindungsstatus zu überprüfen, bevor Sie dieses Update installieren. (Siehe Problemumgehung unten.)

Problemumgehung 

Entfernen der Gruppenrichtlinie-Konfiguration vor der Installation des Updates (empfohlen) 

  1. Öffnen Sie den Gruppenrichtlinieneditor (gpedit.msc) oder Ihre Gruppenrichtlinien-Verwaltungskonsole.

  2. Navigieren Sie zu: Computerkonfiguration > Administrative Vorlagen > Windows-Komponenten > BitLocker-Laufwerkverschlüsselung > Betriebssystemlaufwerke.

  3. Legen Sie „TPM-Plattformvalidierungsprofil für native UEFI-Firmwarekonfigurationen konfigurieren“ auf „Nicht konfiguriert“ fest.

  4. Führen Sie den folgenden Befehl auf betroffenen Geräten aus, um die Richtlinienänderung zu verteilen: gpupdate /force

  5. Führen Sie den folgenden Befehl aus, um BitLocker anzuhalten (wenn BitLocker auf Laufwerk C: aktiviert ist): manage-bde -protectors -disable C: 

  6. Führen Sie den folgenden Befehl aus, um BitLocker fortzusetzen (wenn BitLocker auf Laufwerk C: aktiviert ist): manage-bde -protectors -enable C: 

  7. Dadurch werden die BitLocker-Bindungen aktualisiert, sodass das von Windows ausgewählte Standard-PCR-Profil verwendet wird.

Eine dauerhafte Lösung für dieses Problem ist in einem zukünftigen Windows-Update geplant. Weitere Informationen werden bereitgestellt, sobald sie verfügbar sind.

Nach der Installation von KB5070884 oder späterer Updates zeigt Windows Server Update Services (WSUS) keine Details zu Synchronisierungsfehlern in der Fehlerberichterstattung an. Diese Funktion wurde vorübergehend entfernt, um die Sicherheitslücke für Remote-Code-Ausführung zu beheben, CVE-2025-59287

So erhalten Sie dieses Update

Vor der Installation dieses Updates

Microsoft kombiniert jetzt das neueste Servicing Stack Update (SSU) für Ihr Betriebssystem mit dem neuesten kumulativen Update (LCU). Allgemeine Informationen zu SSUs finden Sie unter Wartungsstapelupdates.

Voraussetzung für die Offlinewartung von Betriebssystemimages:

Stellen Sie sicher, dass Ihr Image KB5030216 (12.09.2023) oder eine höhere LCU enthält. Wenn nicht, installieren Sie es auf Ihren Offlinemedien, bevor Sie das neueste Update installieren. Diese LCU aktualisiert die SSU-Version auf 20348.1960. Dies ist die SSU-Mindestversion, die Sie benötigen, um Fehler 0x800f0823 (CBS_E_NEW_SERVICING_STACK_REQUIRED) zu verhindern.

Bereitstellung

Wenn Sie dynamische Updates wie dieses Update für ein vorhandenes Windows-Image bereitstellen, stellen Sie sicher, dass die Datei boot.stl als Teil des Installationsmediums enthalten ist. Wenn die Datei nicht eingeschlossen wird, können Geräte möglicherweise nicht erfolgreich vom Installationsmedium gestartet werden, und dies kann zu Einem Fehlercode 0xc0430001führen.

Hinweis: Die Datei boot.stl wird während der Überprüfung des sicheren Starts verwendet und muss mit der Windows-Version und Architektur des Images übereinstimmen, das Sie aktualisieren.

Führen Sie einen der folgenden Schritte aus, um sicherzustellen, dass die Datei boot.stl als Teil des Installationsmediums enthalten ist:

  • Verwenden Sie das Update WinPE-Skript , um ein vorhandenes Windows-Image zu aktualisieren. (Empfohlen)" aus

  • Kopieren Sie die Datei boot.stl manuell aus dem Windows\Boot\EFI-Geräteordner in den entsprechenden Ordner auf Ihrem Installationsmedium, bevor Sie das Update bereitstellen.

Informationen zum Anwenden dynamischer Updatepakete auf vorhandene Windows-Images finden Sie unter Aktualisieren von Windows-Installationsmedien mit dynamischem Update.

Installieren dieses Updates

Verwenden Sie zum Installieren dieses Updates einen der folgenden Windows- und Microsoft-Releasekanäle.

Verfügbar

Nächster Schritt

Enthalten

Dieses Update wird automatisch von Windows Update und Microsoft Update heruntergeladen und installiert.

Dateiinformationen

Um eine Liste der in diesem Update bereitgestellten Dateien zu erhalten, laden Sie die Dateiinformationen für kumulative Update-5094128 herunter. 

Um eine Liste der Dateien zu erhalten, die im Wartungsstapelupdate bereitgestellt werden, laden Sie die Dateiinformationen für die SSU (KB5094147) - Version 20348.5251 herunter.

Facebook LinkedIn E-Mail
RSS-FEEDS ABONNIEREN

Benötigen Sie weitere Hilfe?

Möchten Sie weitere Optionen?

Erkunden Sie die Abonnementvorteile, durchsuchen Sie Trainingskurse, erfahren Sie, wie Sie Ihr Gerät schützen und vieles mehr.

Vorteile des Microsoft 365-Abonnements

Microsoft 365-Training

Microsoft Security

Barrierefreiheitscenter