Windows Server PKI & ADCS Hotfix-Referenzhandbuch

Die zertifikatbasierte Authentifizierung ist das Herzstück moderner Active Directory-Umgebungen und ermöglicht VPN-Zugriff, Windows Hello for Business, Smartcard-Anmeldung, Remotedesktop-Authentifizierung und Domänencontroller-Vertrauensstellung. Der Ursprungspatch von 2022 (KB5014754, Adressierung CVE-2022-26923, CVE-2022-26931 und CVE-2022-34691) führte Strong ein Zertifikatszuordnung; die Nachbeobachtung 2025 (KB5057784, für CVE-2025-26647Die Durchsetzung der NTAuth-Speicher-Funktionalität wurde hinzugefügt, und beide Systeme haben nun die vollständige Durchsetzung ohne verbleibende Registry-Umgehungen erreicht. Mit jedem Patch-Dienstag ändern sich die Anforderungen: neue Durchsetzungsmodi, entfernte Registry-Ausweichmöglichkeiten und außerplanmäßige Notfall-Updates, die nur wenige Tage nach einer regulären Veröffentlichung erscheinen. PKI Gesundheit bedeutet heutzutage, sich mit weit mehr als nur Sicherheitslücken (CVEs) auseinanderzusetzen.

Dieser Leitfaden bietet eine zusammenfassende Referenz für Microsoft-Updates, die die Zertifikatsinfrastruktur unter Windows Server 2025, Windows Server 2022 und Windows Server 2019 betreffen. Er unterstützt Administratoren dabei, nachzuvollziehen, was sich wann geändert hat und warum dies für PKI-Umgebungen in Unternehmen mit PKI/ADCSÄnderungen mit Auswirkungen auf Zertifikate. Nicht-PKI-Korrekturen sind ebenfalls enthalten, um Administratoren einen vollständigen Überblick über das Update zu geben.

Hotfixes verstehen

Wer Windows Server-Infrastrukturen verwaltet, ist mit ziemlicher Sicherheit schon einmal auf den Begriff „Hotfix“ in einem Microsoft-Supportartikel gestoßen. Doch was genau bedeutet er, und warum sollten PKI-Administratoren Hotfixes mehr Aufmerksamkeit schenken als die meisten anderen?

Ein Hotfix ist ein gezielter Software-Patch von Microsoft, der einen bestimmten Fehler, eine Regression oder eine Sicherheitslücke behebt – oft außerhalb des regulären monatlichen Patch-Dienstags. Man kann ihn sich wie eine Notfallreparatur vorstellen, die einen einzelnen Riss in der Wand ausbessert, anstatt wie eine geplante Sanierung des gesamten Gebäudes.

Der Begriff „Hotfix“ stammt aus einer Zeit, als Patches buchstäblich auf ein laufendes System aufgespielt wurden, also „heiß“, wie ein laufender Motor, ohne ihn vollständig herunterzufahren oder neu zu installieren. Heute verwendet Microsoft mehrere verwandte Begriffe, die es zu unterscheiden gilt:

Bedingungen	Was es bedeutet
Hotfix	Eine gezielte Behebung eines einzelnen Problems, die oft außerhalb der normalen Zyklen dringend veröffentlicht wird.
Kumulatives Update (CU)	Ein monatliches Updatepaket, das am Patch-Dienstag veröffentlicht wird, enthält alle zuvor veröffentlichten Fehlerbehebungen sowie neue. Da jedes Updatepaket in sich abgeschlossen ist, genügt die Installation des neuesten Updates, um ein System vollständig auf den neuesten Stand zu bringen; ältere Updates müssen nicht zuerst installiert werden.
Außerhalb des Bandes (OOB)	Ein Notfall-Update, das NICHT auf den Patch-Dienstag wartet. Microsoft veröffentlicht diese Updates, wenn eine Regression oder Sicherheitslücke zu schwerwiegend ist, um sie bis zum nächsten regulären Updatezyklus zurückzuhalten.
Sicherheitsupdate	Eine Korrektur, die speziell eine häufig auftretende Sicherheitslücke (CVE) behebt. Kann als Teil eines kumulativen Updates oder als eigenständiger Patch bereitgestellt werden.
Hotpatch	Ein Live-Patching-Mechanismus für Windows Server Datacenter: Azure Edition, der Sicherheitskorrekturen direkt im Arbeitsspeicher ohne Neustart einspielt. Verfügbar auf Servern, die in Azure gehostet oder über Azure Arc verbunden sind. Nicht anwendbar auf lokale Windows Server-Installationen.

Der Lebenszyklus eines Windows Server-Hotfixes

Wenn Sie verstehen, wann und wie Microsoft Patches veröffentlicht, können Sie Änderungen in Ihrer Umgebung antizipieren, anstatt nur darauf zu reagieren. Der typische Lebenszyklus sieht folgendermaßen aus:

• Eine Sicherheitslücke oder ein Fehler wird entweder intern vom Microsoft Security Response Center oder extern von einem Sicherheitsforscher oder einem Unternehmenskunden entdeckt.
• Die Ingenieure von Microsoft entwickeln und testen eine Fehlerbehebung. Dies kann bei einem kritischen Fehler Tage dauern, bei einer geplanten Sicherheitsmaßnahme Wochen oder Monate.
• Der Patch-Dienstag (zweiter Dienstag jedes Monats) ist der übliche Veröffentlichungszeitraum. Geplante Sicherheitskorrekturen und Qualitätsverbesserungen werden hier als kumulative Updates gebündelt.
• Außerbandische Veröffentlichung (OOB): Wenn eine Fehlerbehebung nicht einen ganzen Monat warten kann (z. B. wenn Domänencontroller beim Neustart abstürzen), veröffentlicht Microsoft ein OOB-Update, manchmal innerhalb von 72 Stunden nach der Veröffentlichung am Patch-Dienstag.
• Hotpatch-Veröffentlichung (nur Azure Edition): Bestimmte Korrekturen werden in das Hotpatch-Format zurückportiert, sodass Azure-gehostete Server sie ohne Ausfallzeiten empfangen können.

Warum PKI-Administratoren Hotfixes anders verfolgen müssen

Die meisten IT-Teams betrachten Patch-Management als Risikominimierung: Updates installieren, auf Regressionen testen, fertig. Für PKI- und Active Directory-Umgebungen greift dieses Modell jedoch nicht, da Microsofts Bemühungen um die Härtung von Zertifikaten kumulative Updates nicht nur zur Fehlerbehebung, sondern auch zu Änderungen der Authentifizierungsdurchsetzung genutzt haben.

Zwei parallele Ermittlungswege

Track 1: KB5014754 (Starke Zertifikatszuordnung): Steuert den Registrierungsschlüssel „StrongCertificateBindingEnforcement“. Die vollständige Durchsetzung wurde im Februar 2025 zum Standard; die Umgehung der Registrierung wurde mit dem Update vom 9. September 2025 entfernt.

Track 2: NICHT WOLLEN / CVE-2025-26647 (NTAuth-Speichererzwingung): Steuert den Registrierungsschlüssel „AllowNtAuthPolicyBypass“. Der Überwachungsmodus begann im April 2025; die standardmäßige Erzwingung im Juli 2025; die Umgehung der Registrierung wurde mit dem Update vom 14. Oktober 2025 entfernt.

Die Erfüllung von Track 1 genügt nicht für Track 2. Beide müssen unabhängig voneinander angegangen werden.

Hier liegt der grundlegende Unterschied, der das Patchen von PKI so einzigartig komplex macht:

• Ein typischer Server-Patch kann das Verhalten eines Dienstes unter bestimmten Bedingungen verändern. Ein PKI-relevanter Patch kann hingegen unbemerkt ändern, ob sich jedes in die Domäne eingebundene Gerät in Ihrer Organisation authentifizieren kann.
• Ein typischer Rollback macht einen Patch rückgängig. Das Zurücksetzen eines KB-Updates, das den vollständigen Erzwingungsmodus aktiviert hat, stellt Ihre Authentifizierungsumgebung möglicherweise nicht wieder her, wenn Zertifikatvorlagen bereits neu ausgestellt oder Zuordnungen geändert wurden.
• Ein typischer Patch lässt sich über Registry-Einstellungen rückgängig machen. Der Registry-Wert „StrongCertificateBindingEnforcement“ (KB5014754) wurde mit dem Update vom 9. September 2025 entfernt; der Registry-Wert „AllowNtAuthPolicyBypass“ (KB5057784 / CVE-2025-26647) wurde mit dem Update vom 14. Oktober 2025 entfernt. Stand Oktober 2025 ist für beide Durchsetzungspfade keine Registry-Umgehung mehr möglich.

Vor diesem Hintergrund folgt hier die vollständige PKI-Hotfix-Referenz, die alle zertifikatsrelevanten Updates vom Ursprungsupdate KB5014754 vom Mai 2022 (gültig für Server 2019 und Server 2022) bis Juni 2026 abdeckt. Die Abdeckung für Windows Server 2025 beginnt mit dessen allgemeiner Verfügbarkeit am 1. November 2024.

Windows Server 2025

Windows Server 2025 wurde am 1. November 2024 allgemein verfügbar. Diese Tabelle umfasst 18 Hotfixes für Windows Server 2025 bis Juni 2026, darunter PKI-nahe kumulative Updates und drei OOB-Notfall-Releases.

KB Artikel	Release Date	Aktualisierungstyp	Beschreibung	CVE / Referenz
KB5044284	8. Oktober 2024	Kumulatives Update	[Remotedesktop-Gatewaydienst] Behoben: Der Dienst reagiert nicht mehr, wenn ein Dienst Remote Procedure Calls (RPC) über HTTP verwendet, was dazu führt, dass verbundene Clients die Verbindung verlieren.	CVE-2024-26248, CVE-2024-29056
KB5050009	14. Januar 2025	Kumulatives Update	Windows Kernel Vulnerable Driver Blocklist (DriverSiPolicy.p7b)] Die Liste der Treiber, die von BYOVD-Angriffen (Bring Your Own Vulnerable Driver) betroffen sind, wurde aktualisiert. Verbesserungen am Service-Stack sind enthalten.	CVE-2022-26931, CVE-2022-26923
KB5051987	11. Februar 2025	Kumulatives Update (kritisch)	[Digital/Analog-Wandler (DAC)] Behoben: USB-Audiogeräte (insbesondere solche, die DAC-Treiber auf Basis von USB 1.0 verwenden) konnten ihre Funktion einstellen und die Wiedergabe unterbrechen.   [USB-Kameras] Behoben: Das Gerät erkannte nicht, dass die Kamera eingeschaltet war. Hinweis: Dieses Update führte zu einem bekannten Problem, das dazu führte, dass Remotedesktop-Sitzungen kurz nach der Verbindungsherstellung einfroren (behoben in KB5055523).	CVE-2022-26931, CVE-2022-26923, CVE-2022-34691
KB5053598	11. März 2025	Kumulatives Update	[Winlogon] Behoben: Ein Stoppfehler beim Herunterfahren wurde behoben. Außerdem wurde eine neue Tastenkombination für die Sprachausgabe (Sprachausgabetaste + Strg + X) hinzugefügt, um den zuletzt gesprochenen Inhalt in die Zwischenablage zu kopieren. Zudem kann die Sprachausgabe in der neuen Outlook-Version E-Mails automatisch vorlesen.	Nicht verfügbar (Qualitätskorrektur)
KB5055523	8. April 2025	Kumulatives Update (kritisch)	[Authentifizierung] Behoben: Fehler bei der Rotation von Maschinenkennwörtern im PKINIT-Pfad bei Verwendung von Kerberos mit aktiviertem Credential Guard, was zu Problemen bei der Benutzerauthentifizierung führte. Maschinenkonten in Credential Guard sind bis zur endgültigen Behebung vorübergehend deaktiviert.   [Remote-Desktop] Behoben: Die Sitzungen froren kurz nach der Verbindungsherstellung ein, wodurch Maus- und Tastatureingaben nicht mehr funktionierten. [Kerberos-Authentifizierung] Geändert: Fügt Schutzmaßnahmen für CVE-2025-26647 hinzu:     Phase 1 – Nur Überwachungsmodus. AllowNtAuthPolicyBypass ist standardmäßig auf 1 gesetzt; Ereignis-ID 45 wird für Nicht-NTAuth-Zertifikate protokolliert, die Authentifizierung wird jedoch nicht verweigert. Die standardmäßige Erzwingung beginnt mit dem Update vom 8. Juli 2025. Ereignis-ID 45 kann auf Domänencontrollern protokolliert werden.   [Betriebssystemsicherheit] Neu: Erstellt auf allen Geräten einen Ordner %systemdrive%\inetpub, unabhängig vom IIS-Installationsstatus – erforderlich zum Schutz vor CVE-2025-21204, nicht löschen.    [Windows Hello] Geändert: Zur Erhöhung der Sicherheit benötigt die Gesichtserkennung nun Farbkameras, um ein sichtbares Gesicht zu erkennen (CVE-2025-26644).	CVE-2025-26647
KB5059087	16. April 2025	Außerhalb des Bandes (OOB)	Behebt ein Problem, bei dem Windows-Container, die im Hyper-V-Isolationsmodus ausgeführt wurden, nach dem 8. April 2025 möglicherweise nicht mehr starteten., Veröffentlichung des Container-Images. Aufgrund einer Versionsabweichung zwischen dem Container und der virtuellen Host-Maschine traten Kompatibilitätsprobleme auf; Container können nun korrekt auf die benötigten Systemdateien des Hosts zugreifen.	CVE-2025-26647
KB5060842	10. Juni 2025	Kumulatives Update	Neu: Der Scan-Modus unterstützt jetzt Komma (,) zum Springen an den Anfang eines Elements (Tabelle, Liste usw.) und Punkt (.) zum Springen ans Ende. Dies verbessert die Navigation in langen E-Mails und Artikeln. Allgemeine Sicherheits- und Qualitätsverbesserungen.	CVE-2025-26647
KB5062553	Juli 8, 2025	Kumulatives Update	[Anwendungsinstallation] Behoben: Die MsiCloseHandle-API wies bei der Verarbeitung von MSI-Dateien mit einer großen Anzahl von Dateien eine verlängerte Ausführungszeit auf.   [Kerberos] Behoben: Die Kerberos-Authentifizierung reagiert in bestimmten Szenarien nicht mehr, wenn RC4 zur Verschlüsselung verwendet wird.	CVE-2025-26647
KB5065426	September 9, 2025	Kumulatives Update (kritisch)	[Netzwerk] Behoben: Windows Server 2025 zeigte das Netzwerk auf neuen Domänencontrollern immer als „öffentlich“ an; jetzt wird vor der Verwendung von Loopback-Adressen für die LDAP-Bindung nach einem Domänencontroller-Namen gesucht.   [Drucken] Behoben: Benutzer ohne Administratorrechte konnten hinzugefügte Drucker nicht deinstallieren. Hinweis: Die Druckkomponenten wurden auf die Universal C Runtime Library umgestellt – Druckclients älter als Windows 10 Version 2004 können daher absichtlich nicht auf aktualisierten Servern drucken.	CVE-2022-26931, CVE-2022-26923
KB5066835	14. Oktober 2025	Kumulatives Update (kritisch)	[Browser] Behoben: Die Druckvorschau reagierte in Chromium-basierten Browsern nicht mehr.   [PowerShell Remoting / WinRM] Behoben: Befehle konnten nach 10 Minuten abgebrochen werden.   [Gaming] Behoben: Nach der Anmeldung über das Gamepad auf dem Sperrbildschirm reagierten Apps und Spiele anschließend nicht mehr auf Eingaben.	CVE-2025-26647
KB5068861	November 11, 2025	Kumulatives Update	[Lager] Behoben: Ein Problem, das dazu führen konnte, dass einige Speicherbereiche nicht mehr zugänglich waren oder Storage Spaces Direct beim Erstellen eines Speicherclusters fehlschlug.   [Startmenü] Neu: Mit der booleschen Option in der Richtlinie „Startmenü-Pins konfigurieren“ können Administratoren Startmenü-Pins einmalig anwenden und den Benutzern anschließend die Möglichkeit geben, diese anzupassen.   [Post-Quanten-Kryptographie] Neue Funktionen eingeführt.	Nicht verfügbar (Qualitätskorrektur)
KB5072033	December 9, 2025	Kumulatives Update	[Datei-Explorer] Neu: Trennlinien trennen nun die Symbole der obersten Ebene im Kontextmenü.   [General] Neu: Eine neu gestaltete Systemabfrage erscheint, wenn Apps Zugriff auf Standort, Kamera, Mikrofon oder andere Funktionen anfordern.   [Suche in der Taskleiste] Neu: Eine Rasteransicht hilft Nutzern, Bilder in den Suchergebnissen schneller zu identifizieren.	Nicht verfügbar (Qualitätskorrektur)
KB5073379	13. Januar 2026	Kumulatives Update	[Kompatibilität] Entfernt veraltete Modemtreiber (agrsm64.sys, agrsm.sys, smserl64.sys, smserial.sys), da die von diesen Treibern abhängige Hardware nicht mehr funktioniert.   [Automatische Ausfüllung der Anmeldeinformationen] Neue Sicherheitsverbesserungen: Anmeldedialoge reagieren nicht mehr auf Eingaben der virtuellen Tastatur über Remote-Desktop- oder Bildschirmfreigabetools. Dies ist außerdem die erste Version, in der Windows Server 2025 eigene KB-Kennungen und Buildnummern erhalten hat.	Nicht verfügbar (Qualitätskorrektur)
KB5077793	17. Januar 2026	Außerhalb des Bandes (OOB)	[Remote-Desktop] Behoben: Nach der Installation des Sicherheitsupdates vom Januar 2026 (KB5073379) traten bei Remotedesktopverbindungen mit der Windows-App Fehler bei der Eingabe von Anmeldeinformationen auf, was Auswirkungen auf Azure Virtual Desktop und Windows 365 hatte.	Nicht verfügbar (Qualitätskorrektur)
KB5075899	10. Februar 2026	Kumulatives Update	Kumulatives Sicherheitsupdate mit den neuesten Fehlerbehebungen und Verbesserungen, einschließlich nicht sicherheitsrelevanter Aktualisierungen aus der vorherigen optionalen Vorabversion. Enthält Aktualisierungen der KI-Komponenten (nur für Copilot+-PCs; nicht auf Standard-Windows-Servern installiert).   Bringt die Durchsetzungsphase des KB5025885 Secure Boot Bypass voran und strebt die obligatorische Aufhebung des Zertifikats „Windows Production PCA 2011“ an.	Durchsetzungsphase von KB5025885
KB5078740	10. März 2026	Kumulatives Update	Sicherheitsupdate mit Qualitätsverbesserungen aus KB5075899. Enthält einen wichtigen Hinweis zum Ablauf des Secure-Boot-Zertifikats: Die von den meisten Windows-Geräten verwendeten Zertifikate laufen ab Juni 2026 ab, was Secure Boot auf nicht gepatchten Geräten beeinträchtigen kann. Die Durchsetzungsphase von KB5025885 wird fortgesetzt.	Durchsetzungsphase von KB5025885
KB5082063	14. April 2026	Kumulatives Update	Kumulatives Sicherheitsupdate mit den neuesten Fehlerbehebungen und Verbesserungen. Es wurde ein bekanntes Problem eingeführt: Auf einigen Geräten kann die Installation dieses Updates mit dem Fehlercode 0x80073712 fehlschlagen. Darüber hinaus kann es bei Domänencontrollern in Gesamtstrukturen mit mehreren Domänen, die Privileged Access Management (PAM) verwenden, nach einem Neustart zu LSASS-Abstürzen kommen. Beide Probleme wurden in KB5091157 behoben.	Nicht verfügbar (Regression)
KB5091157	19. April 2026	Außerhalb des Bandes (OOB)	[Active Directory] Behoben: Nach der Installation des Sicherheitsupdates vom April 2026 konnte es bei Domänencontrollern in Gesamtstrukturen mit mehreren Domänen, die Privileged Access Management (PAM) verwenden, vorkommen, dass LSASS nicht mehr reagierte, was zu wiederholten Neustarts und zur Nichtverfügbarkeit der Domäne führte.   [Windows-Update-Installation] Behoben: Bei einer kleinen Anzahl von Windows Server 2025-Geräten konnte KB5082063 nicht installiert werden.	Nicht verfügbar (Notfallreparatur)

Hinweis: Windows Server 2025 verwendet dieselbe Betriebssystembuildnummer 26100.x wie Windows 11 24H2. Alle oben aufgeführten KB-Artikel gelten für beide Produkte.

Windows Server 2022

Windows Server 2022 wurde am 18. August 2021 allgemein verfügbar. Die folgende Tabelle umfasst PKI/ADCS/Zertifikat-bezogene Updates von KB5014754 (Mai 2022) bis Juni 2026. Dies beinhaltet 19 Hotfixes.

KB Artikel	Release Date	Aktualisierungstyp	Beschreibung	CVE/Referenz
KB5014754	May 10, 2022	Sicherheitsupdate (Origin KB)	[Kerberos KDC] Behoben: Der KDC validierte die Formatierung des Rechnernamens bei der zertifikatsbasierten Authentifizierung nicht, wodurch Zertifikate gefälscht werden konnten. Konflikte zwischen Benutzerprinzipalnamen (UPN) und sAMAccountName führten zu zusätzlichen Emulationsmethoden. Behebt die Sicherheitslücken CVE-2022-26931, CVE-2022-26923 und CVE-2022-34691 (Erhöhung von Berechtigungen durch Kerberos-Zertifikatsfälschung). Enterprise Zertifizierungsstellen Jetzt wird eine SID-Erweiterung (OID 1.3.6.1.4.1.311.25.2) in die ausgestellten Zertifikate eingebettet; DCs starten im Kompatibilitätsmodus und protokollieren schwache Zuordnungen über die Ereignis-IDs 39, 40 und 41.	CVE-2022-26931, CVE-2022-26923, CVE-2022-34691
KB5044281	8. Oktober 2024	Kumulatives Update	[MSIX-Anwendungen] Behoben: Fehler beim Öffnen nach Installation über eine HTTPS-URI, wenn der Download unvollständig ist.   [Aufgabenmanager] Behoben: Reagiert nicht mehr, wenn die Registerkarte „Leistung“ ausgewählt wird.   [AppLocker] Behoben: Der Erzwingungsmodus für Regelsammlungen wurde beim Zusammenführen von Regeln mit einer nicht konfigurierten Sammlung nicht überschrieben.   [Remote-Desktop] Behoben: Windows-Server konnten Remote-Desktop-Verbindungen innerhalb der Organisation stören.	CVE-2024-26248, CVE-2024-29056
KB5049983	14. Januar 2025	Kumulatives Update	[Liste der unter Windows Kernel anfälligen Treiber] Aktualisiert: Fügt Treiber hinzu, die anfällig für BYOVD-Angriffe (Bring Your Own Vulnerable Driver) sind. Behebt Sicherheitsprobleme im Windows-Betriebssystem.	CVE-2022-26931, CVE-2022-26923
KB5051979	11. Februar 2025	Kumulatives Update (kritisch)	Nimmt diverse Sicherheitsverbesserungen an der internen Betriebssystemfunktionalität vor. Bekanntes Problem: Geräte mit Citrix Session Recording Agent (SRA) Version 2411 können die Installation möglicherweise nicht abschließen (behoben in KB5053603).	CVE-2022-26931, CVE-2022-26923, CVE-2022-34691
KB5053603	11. März 2025	Kumulatives Update	Beinhaltet diverse Sicherheitsverbesserungen an internen Betriebssystemfunktionen. Für diese Version wurden keine weiteren Qualitätsprobleme dokumentiert.	Nicht verfügbar (Qualitätskorrektur)
KB5055526	8. April 2025	Kumulatives Update (kritisch)	[Authentifizierung] Behoben: Fehler bei der Rotation des Maschinenpassworts im PKINIT-Pfad bei Verwendung von Kerberos mit aktiviertem Credential Guard.   Bekanntes Problem wurde eingeführt: DCs protokollieren möglicherweise die Kerberos-Ereignis-IDs 45 und 21 für WHfB Key Trust-Umgebungen (behoben in KB5060526).	CVE-2025-26647
KB5059092	16. April 2025	Außerhalb des Bandes (OOB)	Behebt einen Startfehler bei Windows-Containern im Hyper-V-Isolationsmodus, wenn der Patchlevel des Containers vom Patchlevel der Host-VM abweicht. Hat keine direkten Auswirkungen auf die PKI. Der Fehlalarm für WHfB Key Trust / Ereignis 45/21 wurde in KB5060526 behoben.	CVE-2025-26647
KB5060526	10. Juni 2025	Kumulatives Update	[DHCP-Server] Behoben: Der DHCP-Serverdienst konnte zeitweise nicht mehr reagieren, was die IP-Adresserneuerung für Clients beeinträchtigte.   [Sprache] Behoben: Problem mit der Kompatibilität chinesischer Zeichen gemäß GB18030. Behebt die Regression WHfB Key Trust / Machine PKINIT false Event ID 45/21 aus KB5055526.	CVE-2025-26647
KB5062572	Juli 8, 2025	Kumulatives Update	[DHCP-Server] Behoben: Problem mit zeitweise auftretendem Ausfall des DHCP-Servers.   [Sprache] Behoben: Chinesische Zeichen entsprechen nun dem Standard GB18030-2022.   [Performance] Behoben: Nicht verwendete Sprachpakete und Feature-on-Demand-Pakete wurden nicht vollständig entfernt.   Bekanntes Problem wurde eingeführt: Changjie IME-Probleme für traditionelles Chinesisch (behoben in KB5063880).	CVE-2025-26647
KB5065432	September 9, 2025	Kumulatives Update (kritisch)	[App-Kompatibilität] Behoben: Unerwartete Benutzerkontensteuerungsaufforderungen für Standardbenutzer bei der Ausführung von MSI-Reparaturvorgängen (eingeführt durch das Update vom August 2025 für CVE-2025-50173). Betrifft Autodesk AutoCAD und ähnliche Anwendungen. [SMB/NetBIOS] Bekanntes Problem: Nach der Installation von KB5065432 konnten Verbindungen zu SMBv1-Freigaben über NetBIOS über TCP/IP (NetBT) fehlschlagen. Microsoft hat dieses Problem in KB5066782 behoben.	CVE-2022-26931, CVE-2022-26923
KB5066782	14. Oktober 2025	Kumulatives Update (kritisch)	[Chinesische IME] Behoben: Probleme bei der Zeichendarstellung und Kompatibilitätsproblem mit GB18030. [Netzwerk] Behoben: Fehler bei der SMB v1-Verbindung über NetBT-Freigabedateien, der durch KB5065432 verursacht wurde. Bekanntes Problem wurde eingeführt: Probleme bei der Smartcard-Authentifizierung im Zusammenhang mit einer Sicherheitsänderung bei den Windows Cryptographic Services (behoben am 22. Oktober 2025).	CVE-2025-26647
KB5068787	November 11, 2025	Kumulatives Update	[App-Kompatibilität] Behoben: Unerwartete UAC-Aufforderungen für einige Anwendungen, darunter Autodesk AutoCAD (eingeführt durch die Sicherheitsverbesserungen vom August 2025). [Sicherheit] Behoben: Nach der Heraufstufung des Domänencontrollers führten Änderungen an den Registrierungsberechtigungen von Microsoft Defender for Endpoint zu Störungen der cloudbasierten Kommunikation.	Nicht verfügbar (Qualitätskorrektur)
KB5073457	13. Januar 2026	Kumulatives Update	[Windows-App / Remote-Desktop] Bekanntes Problem: Fehler bei der Eingabe von Anmeldeinformationen während Remotedesktopverbindungen mit der Windows-App auf Azure Virtual Desktop und Windows 365 (behoben durch KB5077800).	Nicht verfügbar (Qualitätskorrektur)
KB5077800	17. Januar 2026	Außerhalb des Bandes (OOB)	[Windows-App / Remote-Desktop] Behoben: Behebt die durch KB5073457 verursachten Fehler bei der Eingabe von Anmeldeinformationen während Remotedesktopverbindungen mit der Windows-App auf Azure Virtual Desktop und Windows 365. (Kumulativ ersetzt KB5073457).	Nicht verfügbar (Qualitätskorrektur)
KB5075906	10. Februar 2026	Kumulatives Update	[Datei-Explorer] Behoben: Das Umbenennen von Ordnern mit desktop.ini-Dateien funktionierte nicht korrekt; die Einstellung LocalizedResourceName wurde ignoriert. [Schriftarten] Aktualisiert: Chinesische Schriftarten zur Unterstützung des GB18030-2022A-Standards. [Grafik] Behoben: Bei bestimmten GPU-Konfigurationen tritt der Fehler dxgmms2.sys KERNEL_SECURITY_CHECK_FAILURE auf.	Durchsetzungsphase von KB5025885
KB5078766	10. März 2026	Kumulatives Update	[Sicherer Systemstart] Neu: Zusätzliche, hochzuverlässige Geräte-Targeting-Daten erhöhen die Abdeckung von Geräten, die für den automatischen Empfang neuer Secure Boot CA-Zertifikate berechtigt sind. [Windows System Image Manager] Verbessert: Zuverlässigkeit bei der Auswahl vertrauenswürdiger Katalogdateien.	Durchsetzungsphase von KB5025885
KB5082142	14. April 2026	Kumulatives Update	[Kerberos-Protokoll] Geändert: Der Standardwert DefaultDomainSupportedEncTypes für KDC-Operationen verwendet nun AES-SHA1 für Konten ohne explizites msds-SupportedEncryptionTypes AD-Attribut. [Audio] Verbessert: Reduziert die Systemreaktionsunfähigkeit im Zusammenhang mit Audioaktivitäten. [Kernel] Verbessert: Systemstabilität bei der Verarbeitung großer Dateien. Bekanntes Problem wurde eingeführt: LSASS-Startfehler auf DCs in Multi-Domain-PAM-Umgebungen (behoben durch KB5091575).	Nicht verfügbar (Regression)
KB5091575	19. April 2026	Außerhalb des Bandes (OOB)	[Active Directory] Behoben: Nach der Installation des Sicherheitsupdates vom April 2026 kann es bei Domänencontrollern in Gesamtstrukturen mit mehreren Domänen, die Privileged Access Management (PAM) verwenden, zu Startfehlern bei LSASS kommen, wodurch die Authentifizierung und die Verzeichnisdienste nicht mehr funktionieren.	Nicht verfügbar (Notfallreparatur)

Windows Server 2019

Windows Server 2019 wurde am 2. Oktober 2018 allgemein verfügbar. Der reguläre Support endete am 9. Januar 2024; der erweiterte Support läuft bis zum 9. Januar 2029. Die folgende Tabelle enthält Updates mit Auswirkungen auf PKI/ADCS/Zertifikate, die vom ursprünglichen KB5014754 (Mai 2022) bis Juni 2026 verfügbar sind. Dies umfasst 19 Hotfixes (einschließlich des ursprünglichen KB5014754).

KB Artikel	Release Date	Aktualisierungstyp	Beschreibung	CVE / Referenz
KB5014754	May 10, 2022	Sicherheitsupdate (Origin KB)	[AD CS / KDC] Unternehmenszertifizierungsstellen beginnen damit, eine neue SID-Erweiterung (OID 1.3.6.1.4.1.311.25.2) in alle ausgestellten Zertifikate einzubetten. Domänencontroller starten im Kompatibilitätsmodus – die Authentifizierung mit schwach zugeordneten Zertifikaten ist zulässig, jedoch werden die Ereignis-IDs 39/40/41 protokolliert. Behebt die Sicherheitslücken CVE-2022-26931 und CVE-2022-26923 (Kerberos-Zertifikat-Privilegienausweitung).	CVE-2022-26931, CVE-2022-26923, CVE-2022-34691
KB5044277	8. Oktober 2024	Kumulatives Update	[FrameShutdownDelay] Behoben: Der Browser ignorierte seinen Wert im HKLM-Registrierungsschlüssel von Internet Explorer. [Remote-Desktop (bekanntes Problem)] Behoben: Windows Server konnten Remotedesktopverbindungen unter Verwendung älterer Protokolle wie RPC über HTTP im Remotedesktopgateway unterbrechen (tritt sporadisch auf, etwa alle 30 Minuten).	CVE-2024-26248, CVE-2024-29056
KB5050008	14. Januar 2025	Kumulatives Update	[Liste der unter Windows Kernel anfälligen Treiber] Aktualisiert: Fügt Treiber hinzu, die anfällig für BYOVD-Angriffe (Bring Your Own Vulnerable Driver) sind. Behebt Sicherheitsprobleme im Windows-Betriebssystem.	CVE-2022-26931, CVE-2022-26923
KB5052000	11. Februar 2025	Kumulatives Update (kritisch)	[Liste der unter Windows Kernel anfälligen Treiber] Aktualisiert: Fügt Fahrer hinzu, die von BYOVD-Angriffen bedroht sind. [Zertifikatbasierte Authentifizierung] Der vollständige Erzwingungsmodus ist aktiviert: Domänencontroller verweigern nun die Authentifizierung, wenn ein Zertifikat nicht eindeutig einem Benutzer oder Gerät zugeordnet werden kann. Der Kompatibilitätsmodus kann über StrongCertificateBindingEnforcement=1 NUR BIS zum Patch-Dienstag am 9. September 2025 wiederhergestellt werden. Danach hat der Registrierungswert keine Auswirkung mehr.	CVE-2022-26931, CVE-2022-26923, CVE-2022-34691
KB5053596	11. März 2025	Kumulatives Update	[System] Ermöglicht Systemprozessen das Speichern temporärer Dateien in einem sicheren Verzeichnis. Nimmt diverse Sicherheitsverbesserungen an internen Betriebssystemfunktionen vor. Für diese Version sind keine weiteren Qualitätsprobleme dokumentiert.	Nicht verfügbar (Qualitätskorrektur)
KB5055519	8. April 2025	Kumulatives Update (kritisch)	[Authentifizierung] Behoben: Fehler bei der Rotation des Maschinenpassworts im PKINIT-Pfad bei Verwendung von Kerberos mit aktiviertem Credential Guard. Bekanntes Problem wurde eingeführt: DCs können nach diesem Update, das die Art und Weise ändert, wie DCs Zertifikate anhand des NTAuth-Speichers validieren (behoben in KB5060531), die Kerberos-Ereignis-IDs 45 und 21 in WHfB Key Trust- und Machine PKINIT-Umgebungen protokollieren.	CVE-2025-26647
KB5059091	16. April 2025	Außerhalb des Bandes (OOB)	Behebt einen Startfehler bei Windows-Containern im Hyper-V-Isolationsmodus, wenn der Patch-Level des Containers vom Patch-Level der Host-VM abweicht. Hat keine direkten Auswirkungen auf die PKI. WHfB Key Trust / Ereignis 45/21: Fehlalarm (behoben in KB5060531).	CVE-2025-26647
KB5060531	10. Juni 2025	Kumulatives Update	[Authentifizierung / WHfB] Behoben: Behebt den durch KB5055519 eingeführten Fehler in der Protokollierung von WHfB Key Trust und Machine PKINIT (falsche Ereignis-ID 45/21). Domänencontroller verarbeiten nun korrekt mit dem NTAuth-Speicher verkettete Zertifikate, ohne Fehlalarme bei Key-Trust-Konfigurationen auszulösen.	CVE-2025-26647
KB5062557	Juli 8, 2025	Kumulatives Update	Behoben: Die Authentifizierung reagiert in bestimmten RC4-Verschlüsselungsszenarien nicht mehr. [FIDO-Zwischengespeicherte Anmeldeinformationen] Behoben: Auf Geräten in Hybrid-Domänen reagierte das System in bestimmten Fällen nicht mehr. Allgemeine Sicherheitsverbesserungen für das Betriebssystem.	CVE-2025-26647
KB5065428	September 9, 2025	Kumulatives Update (kritisch)	[Zertifikatsbindung — Letzte Phase] Der Registrierungswert „StrongCertificateBindingEnforcement“ wird vom KDC nicht mehr berücksichtigt. Der Wert kann zwar auf der Festplatte verbleiben, hat aber keine Auswirkung (der Kompatibilitätsmodus kann über keine Registrierungseinstellung wieder aktiviert werden). [UAC/MSI] Behoben: Unerwartete UAC-Aufforderungen für Standardbenutzer bei der Durchführung von MSI-Reparaturvorgängen (begrenzt den Anwendungsbereich gegenüber der Härtung von CVE-2025-50173 im August 2025). [Dateiserver] Neu: Unterstützung für die Überprüfung der SMB-Clientkompatibilität für SMB-Serversignierung und EPA.	CVE-2022-26931, CVE-2022-26923
KB5066586	14. Oktober 2025	Kumulatives Update (kritisch)	[NTAuth / AllowNtAuthPolicyBypass] Vollständige Durchsetzung: Der Registrierungswert „AllowNtAuthPolicyBypass“ wird nicht mehr berücksichtigt; die Durchsetzung des NTAuth-Speichers ist nun obligatorisch. Alle Kerberos-Authentifizierungszertifikate müssen von einer Zertifizierungsstelle im NTAuth-Speicher ausgestellt werden; eine Umgehung der Registrierung ist nicht mehr möglich. Allgemeine Sicherheitsverbesserungen.	CVE-2025-26647
KB5068791	November 11, 2025	Kumulatives Update	[Internes Windows-Betriebssystem] Enthält diverse Sicherheitsverbesserungen der internen Betriebssystemfunktionalität. Hinweis: Dieses Update wird im Rahmen des erweiterten Supports bereitgestellt (der reguläre Support endete am 9. Januar 2024). Erweiterte Sicherheitsupdates werden bis zum 9. Januar 2029 fortgesetzt.	Nicht verfügbar (Qualitätskorrektur)
KB5073723	13. Januar 2026	Kumulatives Update	[Automatische Ausfüllung der Anmeldeinformationen] Die Sicherheitshärtung verhindert, dass bestimmte Anwendungen Anmeldeinformationen während Remote-Support-Sitzungen oder automatisierten Authentifizierungsabläufen automatisch ausfüllen. [Kompatibilität] Entfernt veraltete Modemtreiber (agrsm64.sys, smserl64.sys usw.). Bekanntes Problem (1): Fehler bei der Eingabe von Anmeldeinformationen während Remotedesktopverbindungen mit der Windows-App auf Azure Virtual Desktop und Windows 365 (behoben durch KB5077795). Bekanntes Problem (2): Secure Launch / VSM-fähige Geräte starten neu, anstatt herunterzufahren oder in den Ruhezustand zu wechseln (behoben durch KB5075904).	Nicht verfügbar (Qualitätskorrektur)
KB5077795	17. Januar 2026	Außerhalb des Bandes (OOB)	[Windows-App / Remote-Desktop] Behoben: Behebt die durch KB5073723 verursachten Fehler bei der Eingabe von Anmeldeinformationen während Remotedesktopverbindungen mit der Windows-App auf Azure Virtual Desktop und Windows 365. Kumulativ nur für das RDP-Problem. Der Fehler beim sicheren Starten/Neustart von VSM erfordert KB5075904.	Nicht verfügbar (Qualitätskorrektur)
KB5075904	10. Februar 2026	Kumulatives Update	Betriebssystemsicherheit (bekanntes Problem) Behoben: Bei PCs mit Secure Launch-Funktion und aktiviertem Virtual Secure Mode (VSM) konnten diese nach den Updates vom Januar 2026 nicht heruntergefahren oder in den Ruhezustand versetzt werden; stattdessen wurde das Gerät neu gestartet. [Schriftarten] Aktualisiert: Chinesische Schriftarten entsprechen nun der Norm GB18030-2022A. [Sicherer Systemstart] Neu: Beginnt die Verteilung neuer Secure Boot CA-Zertifikate an berechtigte Server 2019-Geräte mit hochzuverlässigen Geräte-Targeting-Daten vor Ablauf der Zertifikate im Juni 2026.	Durchsetzungsphase von KB5025885
KB5078752	10. März 2026	Kumulatives Update	[Sicherer Systemstart] Aktualisiert: Zusätzliche, hochzuverlässige Daten zur Geräteausrichtung erhöhen die Abdeckung von Geräten, die für den automatischen Empfang neuer Secure-Boot-CA-Zertifikate berechtigt sind. Stufenweise Einführung, erweitert auf Server 2019.   [Windows System Image Manager] Verbesserungen: Ein Warnhinweis wurde hinzugefügt, um Benutzern die Bestätigung einer vertrauenswürdigen Katalogdateiquelle zu erleichtern. Diverse Sicherheitsverbesserungen an internen Betriebssystemfunktionen.	Durchsetzungsphase von KB5025885
KB5082123	14. April 2026	Kumulatives Update	[Kerberos-Protokoll] Geändert: Der Standardwert DefaultDomainSupportedEncTypes für KDC-Operationen verwendet nun AES-SHA1 für Konten ohne explizites msds-SupportedEncryptionTypes AD-Attribut.   [Sicherer Systemstart] Verbesserungen: Dynamische Statusmeldungen in den Windows-Sicherheitseinstellungen; Behebung von BitLocker-Wiederherstellungsproblemen nach Secure-Boot-Updates.   [Remote-Desktop] Verbessert: Darstellung des RDP-Sicherheitswarnungsdialogs.   Bekanntes Problem wurde eingeführt: LSASS-Startfehler auf DCs in Multi-Domain-PAM-Umgebungen (behoben durch KB5091573).	Nicht verfügbar (Regression)
KB5091573	19. April 2026	Außerhalb des Bandes (OOB)	[Active Directory] Behoben: Nach der Installation des Sicherheitsupdates vom April 2026 (KB5082123) kann es auf Domänencontrollern in Gesamtstrukturen mit mehreren Domänen, die Privileged Access Management (PAM) verwenden, zu Startfehlern bei LSASS kommen, wodurch Authentifizierungs- und Verzeichnisdienste beeinträchtigt werden. Das Update bereitet die Geräte außerdem auf den bevorstehenden Ablauf des Secure-Boot-Zertifikats im Juni 2026 vor.	Nicht verfügbar (Notfallreparatur)

Falls dieser Leitfaden Lücken in Ihrer aktuellen PKI-Strategie aufgezeigt hat, bietet Encryption Consulting Dienstleistungen an, die speziell darauf ausgelegt sind, diese zu beheben.

Wie kann Verschlüsselungsberatung helfen?

Encryption Consulting bietet spezialisierte Dienstleistungen zur Identifizierung von Schwachstellen und zur Risikominderung durch PKI-Services. Unsere strategische Beratung richtet PKI-Lösungen an den Unternehmenszielen aus, steigert die Effizienz und minimiert Kosten. Durch die Partnerschaft mit Encryption Consulting können Unternehmen das volle Potenzial von PKI-Lösungen ausschöpfen und konkrete finanzielle Vorteile erzielen, während gleichzeitig hohe Sicherheitsstandards gewährleistet werden.

Unsere PKI-Bewertungsdienste Wir bieten eine umfassende Bewertung Ihrer bestehenden ADCS-Umgebung und identifizieren Schwachstellen in der CA-Hygiene, den Backup-Praktiken, der CRL/AIA-Konfiguration und dem Datenbankzustand. Unabhängig davon, ob Ihre CA-Datenbank im Laufe der Zeit unkontrolliert gewachsen ist oder Ihre Wartungsprozesse unstrukturiert sind, liefert unser Team einen detaillierten Risikobericht sowie einen priorisierten Fahrplan, um Ihre PKI wieder in einen gesunden und auditierbaren Zustand zu versetzen.

CertSecure Manager

Wenn Sie dies in großem Umfang auf Hunderten von Maschinen verwalten, wird die manuelle Überwachung unpraktikabel. Eine der umfassendsten Lösungen im Bereich CLM ist CertSecure Manager von Encryption Consulting. CertSecure Manager wurde entwickelt, um der zunehmenden Komplexität von Zertifikatsumgebungen gerecht zu werden und bietet einen zentralisierten, automatisierten und richtlinienbasierten Ansatz für das Zertifikatsmanagement.

• Zentrale Zertifikatsverwaltung: Erkennt und inventarisiert automatisch Zertifikate in Cloud-, On-Premise- und Hybridumgebungen.
• Automatisiertes Lebenszyklusmanagement: Gewährleistet die Ausstellung, Verlängerung und den Widerruf von Zertifikaten mit minimalem menschlichen Eingriff.
• Richtliniendurchsetzungsmodul: Gewährleistet die Einhaltung der Unternehmenssicherheitsrichtlinien und Branchenstandards.
• Rollenbasierte Zugriffskontrolle (RBAC): Ermöglicht eine detaillierte Zugriffsverwaltung, um sicherzustellen, dass nur autorisierte Benutzer Zertifikate verwalten können.
• Integration mit führenden Zertifizierungsstellen und DevOps-Tools: Lässt sich nahtlos in öffentliche und private Zertifizierungsstellen sowie CI/CD-Pipelines integrieren.
• Echtzeitüberwachung und Warnmeldungen: Bietet Dashboards und Warnmeldungen für ablaufende oder falsch konfigurierte Zertifikate.
• Prüfung und Berichterstattung: Führt detaillierte Protokolle und Berichte zur Einhaltung der Vorschriften und für forensische Analysen.

Fazit

Für Unternehmensadministratoren ist die praktische Schlussfolgerung eindeutig: Patch-Management für PKI-Infrastrukturen kann nicht länger als Routine betrachtet werden. Ein einzelnes Patch-Tuesday-Update kann eine neue Durchsetzungsphase aktivieren, eine Sicherheitslücke in der Registry schließen oder, wie der Fall im April 2026 gezeigt hat, zum Absturz aller Domänencontroller in einer Gesamtstruktur mit mehreren Domänen beim Neustart führen.

Die fünf OOB-Notfallupdates, die Microsoft am 19. April 2026 veröffentlichte (insgesamt sieben, einschließlich der Hotpatches für die Azure Edition, innerhalb von fünf Tagen nach dem Patch-Dienstag am 14. April 2026), erinnern daran, dass selbst gut getestete Updates schwerwiegende, umgebungsspezifische Fehler verursachen können, wenn komplexe Authentifizierungssysteme involviert sind.

Das von den meisten Windows-Geräten für Secure Boot verwendete Windows Production PCA 2011-Zertifikat läuft ab Juni 2026 ab. Microsoft stellt seit Februar 2026 neue Secure Boot CA-Zertifikate schrittweise über kumulative Updates (KB5075899, KB5078740, KB5075906, KB5078766, KB5075904, KB5078752) ein und verwendet dabei eine gezielte Geräteauswahl mit hoher Zuverlässigkeit. Administratoren sollten Folgendes beachten:

1. Prüfen Sie, ob alle Server 2019-, 2022- und 2025-Systeme die kumulativen Updates vom Februar bzw. März 2026 erhalten haben.
2. Überprüfen Sie, ob neue Secure-Boot-CA-Zertifikate verteilt wurden.
3. Prüfen Sie, ob die BitLocker-Wiederherstellung nach dem Update getestet wurde. Geräte, die die neuen Zertifikate nicht vor deren Ablauf erhalten, können beim nächsten Neustart möglicherweise keinen sicheren Start mehr durchführen.

Der beste Schutz besteht darin, sich vor der Veröffentlichung von Updates auf dem Laufenden zu halten.

• Überprüfen Sie, ob alle Zertifizierungsstellen, die WHfB Key Trust- oder Machine PKINIT-Zertifikate ausstellen, im NTAuth-Zertifikatspeicher registriert sind. Führen Sie dazu den Befehl `certutil -enterprise -store NTAuth` aus, um die aktuellen NTAuth-Zertifizierungsstellen aufzulisten. Seit der Einführung dieser Regelung im Oktober 2025 schlägt die Kerberos-Authentifizierung auf Domänencontrollern mit Zertifikaten von Zertifizierungsstellen außerhalb von NTAuth fehl.
• Überprüfen Sie Ihre Zertifikatvorlagen rechtzeitig vor den jeweiligen Durchsetzungszeitpunkten auf Schwachstellen in der Zuordnung.
• Wenn ein neuer Patch-Dienstag erscheint, vergleichen Sie ihn mit dieser Anleitung, bevor Sie ihn auf den Domänencontrollern bereitstellen.
• Führen Sie vor jeder wichtigen vierteljährlichen Basismessung eine Vorabprüfung der Umsetzungsstrategie durch, nicht erst nachdem die Einführung bereits begonnen hat.