Certificaatgebaseerde authenticatie vormt de kern van moderne Active Directory-omgevingen en maakt VPN-toegang, Windows Hello voor Bedrijven, aanmelden met smartcards, authenticatie via Remote Desktop en vertrouwensrelaties met domeincontrollers mogelijk. De oorspronkelijke patch van 2022 (KB5014754, adresseren CVE-2022-26923, CVE-2022-26931en CVE-2022-34691) introduceerde Strong Certificaattoewijzing; de follow-up van 2025 (KB5057784, voor CVE-2025-26647) voegde NTAuth-store-handhaving toe, en beide hebben nu volledige handhaving bereikt zonder resterende registeromzeiling. Patch Tuesday na Patch Tuesday verschuiven de doelstellingen: nieuwe handhavingsmodi, verwijderde ontsnappingsmogelijkheden via het register, noodupdates buiten de reguliere release die binnen enkele dagen na een reguliere release verschijnen. Uw PKI Gezond zijn betekent tegenwoordig veel meer dan alleen op de hoogte blijven van beveiligings-CVE's.
Deze handleiding biedt een geconsolideerd overzicht van Microsoft-updates die van invloed zijn op de certificaatinfrastructuur in Windows Server 2025, Windows Server 2022 en Windows Server 2019. Het helpt beheerders bij het bijhouden van wat er is veranderd, wanneer het is veranderd en waarom het van belang is voor PKI-omgevingen binnen bedrijven.ADCSWijzigingen die van invloed zijn op certificaten. Ook niet-PKI-gerelateerde oplossingen zijn opgenomen om beheerders een volledig overzicht van de update te geven.
Hotfixes begrijpen
Als u Windows Server-infrastructuur beheert, bent u vrijwel zeker het woord 'hotfix' tegengekomen in een Microsoft-ondersteuningsartikel. Maar wat betekent het nu precies, en waarom zouden PKI-beheerders meer aandacht aan hotfixes moeten besteden dan de meeste anderen?
Een hotfix is een gerichte softwarepatch die door Microsoft wordt uitgebracht om een specifieke bug, regressie of beveiligingslek aan te pakken. Deze patches verschijnen vaak buiten de normale maandelijkse Patch Tuesday-cyclus. Zie het als een noodreparatie die wordt uitgevoerd om een enkele scheur in de muur te dichten, in plaats van een geplande renovatie van het hele gebouw.
De term 'hotfix' stamt uit de tijd dat patches letterlijk werden toegepast op een draaiend systeem, 'heet', zoals een draaiende motor, zonder dat het systeem volledig werd afgesloten of opnieuw geïnstalleerd. Tegenwoordig gebruikt Microsoft verschillende verwante termen die het waard zijn om te onderscheiden:
| Termijn | Wat het betekent |
|---|---|
| hotfix | Een gerichte oplossing voor één specifiek probleem, die vaak met spoed buiten de normale cycli wordt uitgebracht. |
| Cumulatieve update (CU) | Een maandelijks updatepakket dat op Patch Tuesday wordt uitgebracht en alle eerder uitgebrachte patches combineert met de nieuwste. Omdat elke CU (Credit Update) op zichzelf staat, is het installeren van alleen de nieuwste CU voldoende om een systeem volledig bij te werken, zonder dat het nodig is om eerst oudere updates te installeren. |
| Buiten de bandbreedte (OOB) | Een noodupdate die NIET wacht tot Patch Tuesday. Microsoft brengt deze uit wanneer een regressie of kwetsbaarheid te ernstig is om te wachten tot de volgende reguliere updatecyclus. |
| security update | Een oplossing die specifiek een algemene kwetsbaarheid en beveiligingslek (CVE) aanpakt. Deze kan worden uitgebracht als onderdeel van een cumulatieve update (CU) of als een op zichzelf staande patch. |
| Hotpatch | Een live-patchmechanisme voor Windows Server Datacenter: Azure Edition dat beveiligingspatches rechtstreeks in het geheugen toepast zonder herstart. Beschikbaar op servers die in Azure worden gehost of via Azure Arc zijn verbonden. Niet van toepassing op on-premises Windows Server-installaties. |
De levenscyclus van een Windows Server-hotfix
Inzicht in wanneer en hoe Microsoft patches uitbrengt, helpt u te anticiperen op veranderingen in uw omgeving in plaats van er alleen maar op te reageren. De typische levenscyclus ziet er als volgt uit:
- Een kwetsbaarheid of regressie wordt ontdekt, intern door het Security Response Center van Microsoft of extern door een beveiligingsonderzoeker of een zakelijke klant.
- Microsoft-engineers ontwikkelen en testen een oplossing. Dit kan dagen duren voor een kritieke bug of weken of maanden voor een geplande beveiligingsverbetering.
- Patch Tuesday (de tweede dinsdag van elke maand) is de normale releasedatum. Geplande beveiligingspatches en kwaliteitsverbeteringen worden hier gebundeld als cumulatieve updates.
- Out-of-Band (OOB) release: wanneer een oplossing niet een volledige maand kan wachten (bijvoorbeeld als domeincontrollers vastlopen na een herstart), brengt Microsoft een OOB-update uit, soms al binnen 72 uur na een Patch Tuesday-release.
- Hotpatch-release (alleen Azure-editie): bepaalde correcties worden teruggeporteerd naar het hotpatch-formaat, zodat servers die in Azure worden gehost deze zonder downtime kunnen ontvangen.
Waarom PKI-beheerders hotfixes anders moeten bijhouden
De meeste IT-teams beschouwen patchbeheer als een risicoverminderende oefening: updates toepassen, testen op regressies en verdergaan. Voor PKI- en Active Directory-omgevingen werkt dat model echter niet meer, omdat Microsofts inspanningen op het gebied van certificaatbeveiliging ervoor hebben gezorgd dat cumulatieve updates niet alleen bugfixes, maar ook een middel zijn geworden om de authenticatie-eisen te wijzigen.
Twee parallel lopende handhavingstrajecten
Volg 1: KB5014754 (Sterke certificaattoewijzing): Regelt de registersleutel StrongCertificateBindingEnforcement. Volledige handhaving werd de standaard in februari 2025; de registeromzeiling werd buiten werking gesteld met de update van 9 september 2025.
Volg 2: WIL NIET / CVE-2025-26647 (NTAuth Store Enforcement): Regelt de registersleutel AllowNtAuthPolicyBypass. De auditmodus is in april 2025 ingevoerd; de standaardhandhaving is in juli 2025 ingevoerd; de registerbypass is met de update van 14 oktober 2025 buiten werking gesteld.
Het voltooien van traject 1 voldoet niet aan de vereisten van traject 2. Beide trajecten moeten onafhankelijk van elkaar worden afgerond.
Het fundamentele verschil dat PKI-patching zo complex maakt, ligt in het volgende:
- Een standaard serverpatch kan de werking van een service onder specifieke omstandigheden wijzigen. Een PKI-relevante patch kan echter ongemerkt veranderen of elk apparaat in uw organisatie dat lid is van een domein, zich wel of niet kan authenticeren.
- Een standaard rollback maakt een patch ongedaan. Het terugdraaien van een KB-update die de volledige handhavingsmodus heeft geactiveerd, herstelt mogelijk uw authenticatieomgeving niet als certificaatsjablonen al opnieuw zijn uitgegeven of toewijzingen zijn gewijzigd.
- Een typische patch kan via registerinstellingen worden teruggedraaid. De registerwaarde StrongCertificateBindingEnforcement (KB5014754) is verwijderd met de update van 9 september 2025; de registerwaarde AllowNtAuthPolicyBypass (KB5057784 / CVE-2025-26647) is verwijderd met de update van 14 oktober 2025. Vanaf oktober 2025 is er geen registerbypass meer beschikbaar voor beide handhavingsmechanismen.
Met die context in gedachten, volgt hier de complete PKI-hotfixreferentie met alle updates die van invloed zijn op certificaten, vanaf de oorspronkelijke update KB5014754 van mei 2022 (van toepassing op Server 2019 en Server 2022) tot en met juni 2026. De dekking voor Windows Server 2025 begint op de datum van algemene beschikbaarheid, 1 november 2024.
Windows Server 2025
Windows Server 2025 is op 1 november 2024 algemeen beschikbaar gekomen. Deze tabel bevat 18 hotfixes voor Windows Server 2025 tot en met juni 2026, inclusief cumulatieve updates die gerelateerd zijn aan PKI en drie noodreleases die buiten het standaardpakket vallen.
| KB artikel | Release Date | Updatetype | Beschrijving | CVE / Referentie |
|---|---|---|---|---|
| KB5044284 | October 8, 2024 | Cumulatieve update | [Service voor gateway naar extern bureaublad] Opgelost: De service reageert niet meer wanneer een service gebruikmaakt van remote procedure calls (RPC) via HTTP, waardoor verbonden clients de verbinding verbreken. | CVE-2024-26248, CVE-2024-29056 |
| KB5050009 | 14 januari 2025 | Cumulatieve update | Windows Kernel Vulnerable Driver Blocklist (DriverSiPolicy.p7b)] De lijst met stuurprogramma's die risico lopen op BYOVD-aanvallen (Bring Your Own Vulnerable Driver) is bijgewerkt. Dit omvat verbeteringen aan de service-stack. | CVE-2022-26931, CVE-2022-26923 |
| KB5051987 | 11 februari 2025 | Cumulatieve update (kritiek) | [Digitaal/analoogomzetter (DAC)] Opgelost: USB-audioapparaten (met name die met DAC-stuurprogramma's gebaseerd op USB 1.0) konden vastlopen, waardoor de weergave stopte. [USB-camera's] Opgelost: Apparaat herkende niet dat de camera was ingeschakeld. Opmerking: Deze update introduceerde een bekend probleem waardoor Remote Desktop-sessies kort na de verbinding vastliepen (opgelost in KB5055523). | CVE-2022-26931, CVE-2022-26923, CVE-2022-34691 |
| KB5053598 | 11 maart 2025 | Cumulatieve update | [Winlogon] Opgelost: Er trad een stopfout op tijdens het afsluiten. Er is ook een nieuwe sneltoets voor Verteller toegevoegd (Verteller-toets + Ctrl + X) om de laatst voorgelezen inhoud naar het klembord te kopiëren, en Verteller kan nu e-mailinhoud automatisch voorlezen in het nieuwe Outlook. | Niet van toepassing (kwaliteitsverbetering) |
| KB5055523 | 8 april 2025 | Cumulatieve update (kritiek) | [Authenticatie] Opgelost: Fout bij het roteren van machinewachtwoorden in het PKINIT-pad wanneer Kerberos werd gebruikt met Credential Guard ingeschakeld, wat leidde tot problemen met gebruikersauthenticatie. Machineaccounts in Credential Guard zijn tijdelijk uitgeschakeld in afwachting van een permanente oplossing. [Extern bureaublad] Opgelost: Sessies liepen kort na de verbinding vast, waardoor muis- en toetsenbordinvoer niet meer reageerden. [Kerberos-authenticatie] Gewijzigd: Beveiligingen toegevoegd voor CVE-2025-26647: Fase 1 — Alleen auditmodus. AllowNtAuthPolicyBypass is standaard ingesteld op 1; gebeurtenis-ID 45 wordt geregistreerd voor niet-NTAuth-certificaten, maar authenticatie wordt NIET geweigerd. Handhaving standaard begint met de update van 8 juli 2025. Gebeurtenis-ID 45 kan worden geregistreerd op domeincontrollers. [OS-beveiliging] Nieuw: Maakt een map %systemdrive%\inetpub aan op alle apparaten, ongeacht de installatiestatus van IIS — vereist voor bescherming tegen CVE-2025-21204, niet verwijderen. [Windows Hello] Gewijzigd: Gezichtsherkenning vereist nu kleurencamera's om een zichtbaar gezicht te detecteren voor verbeterde beveiliging (CVE-2025-26644). | CVE-2025-26647 |
| KB5059087 | 16 april 2025 | Buiten de bandbreedte (OOB) | Lost een probleem op waarbij Windows-containers die in Hyper-V-isolatiemodus draaien, na 8 april 2025 mogelijk niet meer konden starten., Vrijgave van de containerimage. Een versieconflict tussen de container en de virtuele machine van het hostingprogramma veroorzaakte compatibiliteitsproblemen; containers hebben nu correct toegang tot de benodigde systeembestanden van de host. | CVE-2025-26647 |
| KB5060842 | 10 juni 2025 | Cumulatieve update | Nieuw: De scanmodus ondersteunt nu de komma (,) om naar het begin van een item (tabel, lijst, enz.) te springen en de punt (.) om naar het einde te springen, waardoor de navigatie in lange e-mails en artikelen wordt verbeterd. Algemene verbeteringen op het gebied van beveiliging en kwaliteit. | CVE-2025-26647 |
| KB5062553 | July 8, 2025 | Cumulatieve update | [Installatie van de applicatie] Opgelost: De MsiCloseHandle API ondervond een langere uitvoeringsduur bij het verwerken van MSI-bestanden die een groot aantal bestanden bevatten. [Kerberos] Opgelost: Kerberos-authenticatie reageert niet meer in bepaalde scenario's wanneer RC4 wordt gebruikt voor encryptie. | CVE-2025-26647 |
| KB5065426 | 9 september 2025 | Cumulatieve update (kritiek) | [Netwerk] Opgelost: Windows Server 2025 gaf het netwerk op nieuwe domeincontrollers altijd weer als 'openbaar'; het controleert nu op een DC-naam voordat loopback-adressen worden gebruikt voor LDAP-binding. [Afdrukken] Opgelost: Gebruikers zonder beheerdersrechten konden printers die ze hadden toegevoegd niet verwijderen. Opmerking: printcomponenten zijn overgezet naar de Universal C Runtime Library. Printclients ouder dan Windows 10 versie 2004 zullen opzettelijk niet meer kunnen afdrukken naar bijgewerkte servers. | CVE-2022-26931, CVE-2022-26923 |
| KB5066835 | October 14, 2025 | Cumulatieve update (kritiek) | [Browser] Opgelost: Het afdrukvoorbeeld reageerde niet meer in browsers die op Chromium gebaseerd zijn. [PowerShell-remotebeheer / WinRM] Opgelost: Commando's konden na 10 minuten verlopen. [Gaming] Opgelost: Na het inloggen via de gamepad op het vergrendelscherm reageerden apps en games daarna niet meer op invoer. | CVE-2025-26647 |
| KB5068861 | November 11, 2025 | Cumulatieve update | [Opslag] Opgelost: Een probleem dat ervoor kon zorgen dat sommige Storage Spaces ontoegankelijk werden of dat Storage Spaces Direct mislukte bij het maken van een opslagcluster. [Startmenu] Nieuw: Met de Booleaanse optie in het beleid 'Startmenu-pincodes configureren' kunnen beheerders startmenu-pincodes eenmalig toepassen, waarna gebruikers ze naar eigen wens kunnen aanpassen. [Post-kwantumcryptografie] Nieuwe functies geïntroduceerd. | Niet van toepassing (kwaliteitsverbetering) |
| KB5072033 | December 9, 2025 | Cumulatieve update | [Verkenner] Nieuw: Scheidingslijnen scheiden nu de pictogrammen op het hoogste niveau in het contextmenu. [Algemeen] Nieuw: Er verschijnt een vernieuwde systeemmelding wanneer apps toegang vragen tot locatie, camera, microfoon of andere functies. [Zoeken op taakbalk] Nieuw: Een rasterweergave helpt gebruikers om afbeeldingen in zoekresultaten sneller te vinden. | Niet van toepassing (kwaliteitsverbetering) |
| KB5073379 | 13 januari 2026 | Cumulatieve update | [Compatibiliteit] Verwijdert verouderde modemstuurprogramma's (agrsm64.sys, agrsm.sys, smserl64.sys, smserial.sys), aangezien hardware die hiervan afhankelijk is, niet langer zal werken. [Automatisch invullen van inloggegevens] Nieuwe beveiligingsverbetering: aanmeldingsdialoogvensters reageren niet langer op virtuele toetsenbordinvoer van tools voor extern bureaublad of schermdeling. Dit is tevens de eerste release waarin Windows Server 2025 eigen, afzonderlijke KB-identificaties en buildnummers heeft gekregen. | Niet van toepassing (kwaliteitsverbetering) |
| KB5077793 | 17 januari 2026 | Buiten de bandbreedte (OOB) | [Extern bureaublad] Opgelost: Na het installeren van de beveiligingsupdate van januari 2026 (KB5073379) traden er problemen op met het invoeren van aanmeldingsgegevens tijdens Remote Desktop-verbindingen via de Windows-app, wat gevolgen had voor Azure Virtual Desktop en Windows 365. | Niet van toepassing (kwaliteitsverbetering) |
| KB5075899 | 10 februari 2026 | Cumulatieve update | Cumulatieve beveiligingsupdate met de nieuwste oplossingen en verbeteringen, inclusief niet-beveiligingsupdates van de vorige optionele preview-release. Bevat updates voor AI-componenten (alleen van toepassing op Copilot+ pc's; niet te installeren op standaard Windows Server). Hiermee wordt de fase van handhaving van de Secure Boot-bypassbeveiliging (KB5025885) verder uitgebreid, met als doel de verplichte intrekking van het certificaat "Windows Production PCA 2011". | KB5025885 handhavingsfase |
| KB5078740 | 10 maart 2026 | Cumulatieve update | Beveiligingsupdate met kwaliteitsverbeteringen ten opzichte van KB5075899. Een belangrijke mededeling over het verlopen van Secure Boot-certificaten is opgenomen: certificaten die door de meeste Windows-apparaten worden gebruikt, verlopen vanaf juni 2026. Dit kan gevolgen hebben voor Secure Boot op apparaten die niet zijn gepatcht. De handhavingsfase van KB5025885 wordt voortgezet. | KB5025885 handhavingsfase |
| KB5082063 | 14 april 2026 | Cumulatieve update | Cumulatieve beveiligingsupdate met de nieuwste oplossingen en verbeteringen. Er is een bekend probleem geïntroduceerd: een klein aantal apparaten kan deze update mogelijk niet installeren met foutcode 0x80073712. Daarnaast kunnen domeincontrollers in multi-domeinforests die gebruikmaken van Privileged Access Management (PAM) na een herstart vastlopen in LSASS. Beide problemen zijn opgelost in KB5091157. | Niet van toepassing (Regressie) |
| KB5091157 | 19 april 2026 | Buiten de bandbreedte (OOB) | [Active Directory] Opgelost: Na het installeren van de beveiligingsupdate van april 2026 konden domeincontrollers in multi-domeinforests die gebruikmaken van Privileged Access Management (PAM) problemen ondervinden waarbij LSASS niet meer reageerde, wat leidde tot herhaalde herstarts en het ontoegankelijk maken van het domein. [Installatie van Windows-updates] Opgelost: Een klein aantal Windows Server 2025-apparaten kon KB5082063 niet installeren. | Niet van toepassing (Noodoplossing) |
Opmerking: Windows Server 2025 deelt OS-build 26100.x met Windows 11 24H2. Alle hierboven vermelde KB's zijn van toepassing op beide producten.
Windows Server 2022
Windows Server 2022 is op 18 augustus 2021 algemeen beschikbaar gekomen. De onderstaande tabel bevat updates die van invloed zijn op PKI/ADCS/certificaten, vanaf de oorspronkelijke update KB5014754 (mei 2022) tot en met juni 2026. Dit omvat 19 hotfixes.
| KB artikel | Release Date | Updatetype | Beschrijving | CVE/Referentie |
|---|---|---|---|---|
| KB5014754 | May 10, 2022 | Beveiligingsupdate (Origin KB) | [Kerberos KDC] Opgelost: De KDC valideerde de opmaak van de machinenaam niet tijdens certificaatgebaseerde authenticatie, waardoor certificaten konden worden vervalst. Conflicten tussen User Principal Names (UPN) en sAMAccountName introduceerden extra mogelijkheden voor emulatie. Verhelpt CVE-2022-26931, CVE-2022-26923 en CVE-2022-34691 (verhoging van bevoegdheden via vervalsing van Kerberos-certificaten). Enterprise CA's Voeg nu een SID-extensie (OID 1.3.6.1.4.1.311.25.2) toe aan uitgegeven certificaten; DC's starten in compatibiliteitsmodus en registreren zwakke koppelingen via gebeurtenis-ID's 39, 40 en 41. | CVE-2022-26931, CVE-2022-26923, CVE-2022-34691 |
| KB5044281 | October 8, 2024 | Cumulatieve update | [MSIX-toepassingen] Opgelost: Kan niet worden geopend bij installatie via een HTTPS-URI als de download onvolledig is. [Taakbeheer] Opgelost: Het programma reageert niet meer wanneer het tabblad Prestaties wordt geselecteerd. [AppLocker] Opgelost: De handhavingsmodus van de regelverzameling werd niet overschreven bij het samenvoegen van regels met een niet-geconfigureerde verzameling. [Extern bureaublad] Opgelost: Windows-servers konden Remote Desktop-verbindingen binnen de organisatie verstoren. | CVE-2024-26248, CVE-2024-29056 |
| KB5049983 | 14 januari 2025 | Cumulatieve update | [Blokkeerlijst met kwetsbare stuurprogramma's in de Windows-kernel] Bijgewerkt: Voegt stuurprogramma's toe die risico lopen op BYOVD-aanvallen (Bring Your Own Vulnerable Driver). Lost beveiligingsproblemen op voor het Windows-besturingssysteem. | CVE-2022-26931, CVE-2022-26923 |
| KB5051979 | 11 februari 2025 | Cumulatieve update (kritiek) | Bevat diverse beveiligingsverbeteringen aan de interne functionaliteit van het besturingssysteem. Bekend probleem geïntroduceerd: Apparaten met Citrix Session Recording Agent (SRA) versie 2411 kunnen de installatie mogelijk niet voltooien (opgelost in KB5053603). | CVE-2022-26931, CVE-2022-26923, CVE-2022-34691 |
| KB5053603 | 11 maart 2025 | Cumulatieve update | Bevat diverse beveiligingsverbeteringen aan de interne functionaliteit van het besturingssysteem. Er zijn geen verdere kwaliteitsproblemen gedocumenteerd voor deze release. | Niet van toepassing (kwaliteitsverbetering) |
| KB5055526 | 8 april 2025 | Cumulatieve update (kritiek) | [Authenticatie] Opgelost: Fout bij het roteren van machinewachtwoorden in het PKINIT-pad wanneer Kerberos wordt gebruikt met Credential Guard ingeschakeld. Bekend probleem geïntroduceerd: DC's kunnen Kerberos-gebeurtenis-ID's 45 en 21 registreren voor WHfB Key Trust-omgevingen (opgelost in KB5060526). | CVE-2025-26647 |
| KB5059092 | 16 april 2025 | Buiten de bandbreedte (OOB) | Verhelpt een opstartfout bij Windows-containers die in Hyper-V-isolatiemodus draaien wanneer het patchniveau van de container afwijkt van dat van de host-VM. Heeft geen directe impact op PKI. De valse alarmmelding WHfB Key Trust / Event 45/21 is opgelost in KB5060526. | CVE-2025-26647 |
| KB5060526 | 10 juni 2025 | Cumulatieve update | [DHCP-server] Opgelost: De DHCP-serverdienst kon af en toe vastlopen, wat de IP-vernieuwing voor clients beïnvloedde. [Taal] Opgelost: Probleem met de naleving van Chinese tekens in GB18030. Verhelpt de WHfB Key Trust / Machine PKINIT false Event ID 45/21 regressie uit KB5055526. | CVE-2025-26647 |
| KB5062572 | July 8, 2025 | Cumulatieve update | [DHCP-server] Opgelost: Probleem waarbij de DHCP-server af en toe niet meer reageerde. [Taal] Opgelost: Chinese tekens voldoen nu aan de GB18030-2022-norm. [Prestatie] Opgelost: Ongebruikte taalpakketten en 'Feature on Demand'-pakketten werden niet volledig verwijderd. Bekend probleem geïntroduceerd: Problemen met Changjie IME voor traditioneel Chinees (opgelost in KB5063880). | CVE-2025-26647 |
| KB5065432 | 9 september 2025 | Cumulatieve update (kritiek) | [App-compatibiliteit] Opgelost: Onverwachte UAC-prompts voor standaardgebruikers die MSI-reparatiebewerkingen uitvoeren (geïntroduceerd door de update van augustus 2025 voor CVE-2025-50173). Betreft Autodesk AutoCAD en vergelijkbare apps. [SMB/NetBIOS] Bekend probleem geïntroduceerd: Na de installatie van KB5065432 konden verbindingen met SMBv1-shares via NetBIOS over TCP/IP (NetBT) mislukken. Microsoft heeft dit probleem opgelost in KB5066782. | CVE-2022-26931, CVE-2022-26923 |
| KB5066782 | October 14, 2025 | Cumulatieve update (kritiek) | [Chinese IME] Opgelost: Tekens werden niet correct weergegeven en er was een probleem met de naleving van GB18030. [Netwerken] Opgelost: Fout bij het verbinden van gedeelde bestanden via SMB v1 over NetBT, geïntroduceerd door KB5065432. Bekend probleem geïntroduceerd: Problemen met smartcardverificatie in verband met een beveiligingswijziging voor Windows Cryptographic Services (opgelost op 22 oktober 2025). | CVE-2025-26647 |
| KB5068787 | November 11, 2025 | Cumulatieve update | [App-compatibiliteit] Opgelost: Onverwachte UAC-prompts voor sommige apps, waaronder Autodesk AutoCAD (geïntroduceerd door de beveiligingsupdate van augustus 2025). [Beveiliging] Opgelost: Na de promotie van een domeincontroller zorgden wijzigingen in de registermachtigingen van Microsoft Defender for Endpoint voor verstoring van de cloudcommunicatie. | Niet van toepassing (kwaliteitsverbetering) |
| KB5073457 | 13 januari 2026 | Cumulatieve update | [Windows-app / Extern bureaublad] Bekend probleem geïntroduceerd: Fouten bij het opvragen van aanmeldingsgegevens tijdens Remote Desktop-verbindingen met behulp van de Windows-app op Azure Virtual Desktop en Windows 365 (opgelost met KB5077800). | Niet van toepassing (kwaliteitsverbetering) |
| KB5077800 | 17 januari 2026 | Buiten de bandbreedte (OOB) | [Windows-app / Extern bureaublad] Opgelost: Verhelpt fouten bij het weergeven van aanmeldingsgegevens die zijn geïntroduceerd door KB5073457 tijdens Extern bureaubladverbindingen met de Windows-app op Azure Virtual Desktop en Windows 365. (Cumulatieve update vervangt KB5073457). | Niet van toepassing (kwaliteitsverbetering) |
| KB5075906 | 10 februari 2026 | Cumulatieve update | [Verkenner] Opgelost: Het hernoemen van mappen met desktop.ini-bestanden werkte niet correct; de instelling LocalizedResourceName werd genegeerd. [Lettertypen] Bijgewerkt: Chinese lettertypen ondersteunen nu de GB18030-2022A-standaard. [Grafische afbeeldingen] Opgelost: Bij bepaalde GPU-configuraties treedt de foutmelding dxgmms2.sys KERNEL_SECURITY_CHECK_FAILURE op. | KB5025885 handhavingsfase |
| KB5078766 | 10 maart 2026 | Cumulatieve update | [Veilig opstarten] Nieuw: Extra gegevens over apparaattargeting met hoge betrouwbaarheid vergroten de dekking van apparaten die in aanmerking komen om automatisch nieuwe Secure Boot CA-certificaten te ontvangen. [Windows Systeemimagebeheer] Verbeterd: Betrouwbaarheid van het selecteren van vertrouwde catalogusbestanden. | KB5025885 handhavingsfase |
| KB5082142 | 14 april 2026 | Cumulatieve update | [Kerberos-protocol] Gewijzigd: De standaardwaarde DefaultDomainSupportedEncTypes voor KDC-bewerkingen maakt nu gebruik van AES-SHA1 voor accounts zonder een expliciet msds-SupportedEncryptionTypes AD-kenmerk. [Audio] Verbeterd: Vermindert de traagheid van het systeem bij audioactiviteit. [Kernel] Verbeterd: Systeemstabiliteit tijdens bewerkingen met grote bestanden. Bekend probleem geïntroduceerd: LSASS-opstartproblemen op domeincontrollers in PAM-omgevingen met meerdere domeinen (opgelost door KB5091575). | Niet van toepassing (Regressie) |
| KB5091575 | 19 april 2026 | Buiten de bandbreedte (OOB) | [Active Directory] Opgelost: Na het installeren van de beveiligingsupdate van april 2026 kunnen domeincontrollers in multi-domeinforests die gebruikmaken van Privileged Access Management (PAM) opstartproblemen met LSASS ondervinden, waardoor authenticatie en directoryservices niet meer functioneren. | Niet van toepassing (Noodoplossing) |
Windows Server 2019
Windows Server 2019 is op 2 oktober 2018 algemeen beschikbaar gekomen. De reguliere ondersteuning eindigde op 9 januari 2024; de uitgebreide ondersteuning loopt door tot 9 januari 2029. De onderstaande tabel bevat updates die van invloed zijn op PKI/ADCS/certificaten, van de oorspronkelijke KB5014754 (mei 2022) tot en met juni 2026. Dit omvat 19 hotfixes (inclusief de oorspronkelijke KB5014754).
| KB artikel | Release Date | Updatetype | Beschrijving | CVE / Referentie |
|---|---|---|---|---|
| KB5014754 | May 10, 2022 | Beveiligingsupdate (Origin KB) | [AD CS / KDC] Enterprise CA's beginnen een nieuwe SID-extensie (OID 1.3.6.1.4.1.311.25.2) in alle uitgegeven certificaten in te sluiten. DC's starten in compatibiliteitsmodus – authenticatie met zwak toegewezen certificaten is toegestaan, maar gebeurtenis-ID's 39/40/41 worden geregistreerd. Dit lost CVE-2022-26931 en CVE-2022-26923 (escalatie van Kerberos-certificaatprivileges) op. | CVE-2022-26931, CVE-2022-26923, CVE-2022-34691 |
| KB5044277 | October 8, 2024 | Cumulatieve update | [FrameShutdownDelay] Opgelost: De browser negeerde de waarde in de HKLM-registersleutel van Internet Explorer. [Extern bureaublad (bekend probleem)] Opgelost: Windows-servers kunnen Remote Desktop-verbindingen verstoren die gebruikmaken van verouderde protocollen zoals RPC over HTTP in de Remote Desktop Gateway (dit gebeurt sporadisch, ongeveer elke 30 minuten). | CVE-2024-26248, CVE-2024-29056 |
| KB5050008 | 14 januari 2025 | Cumulatieve update | [Blokkeerlijst met kwetsbare stuurprogramma's in de Windows-kernel] Bijgewerkt: Voegt stuurprogramma's toe die risico lopen op BYOVD-aanvallen (Bring Your Own Vulnerable Driver). Lost beveiligingsproblemen op voor het Windows-besturingssysteem. | CVE-2022-26931, CVE-2022-26923 |
| KB5052000 | 11 februari 2025 | Cumulatieve update (kritiek) | [Blokkeerlijst met kwetsbare stuurprogramma's in de Windows-kernel] Bijgewerkt: Bestuurders die risico lopen op BYOVD-aanvallen zijn toegevoegd. [Authenticatie op basis van certificaten] De volledige handhavingsmodus is geactiveerd: domeincontrollers weigeren nu authenticatie als een certificaat niet sterk aan een gebruiker of apparaat kan worden gekoppeld. De compatibiliteitsmodus kan alleen worden hersteld via StrongCertificateBindingEnforcement=1 tot en met de patch-dinsdag van 9 september 2025. Daarna heeft de registerwaarde geen effect meer. | CVE-2022-26931, CVE-2022-26923, CVE-2022-34691 |
| KB5053596 | 11 maart 2025 | Cumulatieve update | [Systeem] Hiermee kunnen systeemprocessen tijdelijke bestanden opslaan in een beveiligde map. Bevat diverse beveiligingsverbeteringen aan de interne functionaliteit van het besturingssysteem. Er zijn geen verdere kwaliteitsproblemen gedocumenteerd voor deze release. | Niet van toepassing (kwaliteitsverbetering) |
| KB5055519 | 8 april 2025 | Cumulatieve update (kritiek) | [Authenticatie] Opgelost: Fout bij het roteren van machinewachtwoorden in het PKINIT-pad wanneer Kerberos wordt gebruikt met Credential Guard ingeschakeld. Bekend probleem geïntroduceerd: Na deze update, die de manier wijzigt waarop domeincontrollers certificaten valideren aan de hand van de NTAuth-opslag (opgelost in KB5060531), kunnen domeincontrollers Kerberos-gebeurtenis-ID's 45 en 21 registreren in WHfB Key Trust- en Machine PKINIT-omgevingen. | CVE-2025-26647 |
| KB5059091 | 16 april 2025 | Buiten de bandbreedte (OOB) | Verhelpt een opstartfout bij Windows-containers die in Hyper-V-isolatiemodus draaien wanneer het patchniveau van de container afwijkt van dat van de host-VM. Heeft geen directe impact op PKI. WHfB Key Trust / Event 45/21 vals alarm (opgelost in KB5060531). | CVE-2025-26647 |
| KB5060531 | 10 juni 2025 | Cumulatieve update | [Authenticatie / WHfB] Opgelost: Verhelpt de fout in de logboekregistratie van WHfB Key Trust en Machine PKINIT met gebeurtenis-ID 45/21, geïntroduceerd door KB5055519. Domeincontrollers verwerken nu correct certificaten die zijn gekoppeld aan de NTAuth-opslag, zonder valse alarmen te genereren bij Key Trust-configuraties. | CVE-2025-26647 |
| KB5062557 | July 8, 2025 | Cumulatieve update | Opgelost: Authenticatie reageerde niet meer in bepaalde RC4-versleutelingsscenario's. [FIDO-aanmelding met opgeslagen inloggegevens] Opgelost: Het systeem reageerde in bepaalde gevallen niet meer op apparaten die waren aangesloten op een hybride domein. Algemene beveiligingsverbeteringen voor het besturingssysteem. | CVE-2025-26647 |
| KB5065428 | 9 september 2025 | Cumulatieve update (kritiek) | [Certificaatbinding — Laatste fase] De registerwaarde StrongCertificateBindingEnforcement wordt niet langer door de KDC gerespecteerd. De waarde kan nog wel op de schijf aanwezig zijn, maar heeft geen effect (de compatibiliteitsmodus kan niet opnieuw worden ingeschakeld via een registerinstelling). [UAC/MSI] Opgelost: Onverwachte UAC-prompts voor standaardgebruikers die MSI-reparatiebewerkingen uitvoeren (de reikwijdte van de beveiligingsmaatregel CVE-2025-50173 van augustus 2025 is hiermee beperkt). [Bestandsserver] Nieuw: Auditondersteuning voor SMB-clientcompatibiliteit bij SMB-serverondertekening en EPA. | CVE-2022-26931, CVE-2022-26923 |
| KB5066586 | October 14, 2025 | Cumulatieve update (kritiek) | [NTAuth / AllowNtAuthPolicyBypass] Volledige handhaving: De registerwaarde AllowNtAuthPolicyBypass wordt niet langer gerespecteerd; handhaving in de NTAuth-opslag is nu verplicht. Alle Kerberos-authenticatiecertificaten moeten zijn uitgegeven door een CA in de NTAuth-opslag, zonder dat er nog een registerbypass mogelijk is. Algemene beveiligingsverbeteringen. | CVE-2025-26647 |
| KB5068791 | November 11, 2025 | Cumulatieve update | [Intern Windows-besturingssysteem] Bevat diverse beveiligingsverbeteringen aan de interne functionaliteit van het besturingssysteem. Let op: Deze update wordt uitgebracht onder Extended Support (Mainstream Support eindigde op 9 januari 2024). Extended Security Updates worden tot 9 januari 2029 geleverd. | Niet van toepassing (kwaliteitsverbetering) |
| KB5073723 | 13 januari 2026 | Cumulatieve update | [Automatisch invullen van inloggegevens] Beveiligingsmaatregelen voorkomen dat bepaalde applicaties automatisch inloggegevens invullen tijdens sessies voor ondersteuning op afstand of geautomatiseerde authenticatieprocessen. [Compatibiliteit] Verwijdert verouderde modemstuurprogramma's (agrsm64.sys, smserl64.sys, enz.). Bekend probleem geïntroduceerd (1): Foutmeldingen bij het weergeven van aanmeldingsgegevens tijdens Remote Desktop-verbindingen met behulp van de Windows-app op Azure Virtual Desktop en Windows 365 (opgelost met KB5077795). Bekend probleem geïntroduceerd (2): Secure Launch / VSM-compatibele apparaten herstarten in plaats van uit te schakelen of in de slaapstand te gaan (opgelost met KB5075904). | Niet van toepassing (kwaliteitsverbetering) |
| KB5077795 | 17 januari 2026 | Buiten de bandbreedte (OOB) | [Windows-app / Extern bureaublad] Opgelost: Verhelpt fouten bij het opvragen van referenties die zijn geïntroduceerd door KB5073723 tijdens Remote Desktop-verbindingen met de Windows-app op Azure Virtual Desktop en Windows 365. Cumulatief voor het RDP-probleem. De bug met Secure Launch/VSM-herstart vereist KB5075904. | Niet van toepassing (kwaliteitsverbetering) |
| KB5075904 | 10 februari 2026 | Cumulatieve update | Beveiliging van het besturingssysteem (bekend probleem) Opgelost: PC's met Secure Launch-functionaliteit en ingeschakelde Virtual Secure Mode (VSM) konden na de updates van januari 2026 niet meer worden afgesloten of in de slaapstand gaan; het apparaat werd in plaats daarvan opnieuw opgestart. [Lettertypen] Bijgewerkt: Chinese lettertypen voldoen nu aan de GB18030-2022A-norm. [Veilig opstarten] Nieuw: Start met de distributie van nieuwe Secure Boot CA-certificaten naar daarvoor in aanmerking komende Server 2019-apparaten met gegevens over apparaattargeting met hoge betrouwbaarheid, vóórdat de certificaten in juni 2026 verlopen. | KB5025885 handhavingsfase |
| KB5078752 | 10 maart 2026 | Cumulatieve update | [Veilig opstarten] Bijgewerkt: Dankzij extra gegevens over apparaattargeting met hoge betrouwbaarheid is de dekking van apparaten die automatisch nieuwe Secure Boot CA-certificaten kunnen ontvangen, vergroot. Gefaseerde uitrol, inclusief uitbreiding op Server 2019. [Windows Systeemimagebeheer] Verbeteringen: Er is een waarschuwingsvenster toegevoegd om gebruikers te helpen de betrouwbare bron van het catalogusbestand te bevestigen. Diverse beveiligingsverbeteringen aan de interne functionaliteit van het besturingssysteem. | KB5025885 handhavingsfase |
| KB5082123 | 14 april 2026 | Cumulatieve update | [Kerberos-protocol] Gewijzigd: De standaardwaarde DefaultDomainSupportedEncTypes voor KDC-bewerkingen maakt nu gebruik van AES-SHA1 voor accounts zonder een expliciet msds-SupportedEncryptionTypes AD-kenmerk. [Veilig opstarten] Verbeteringen: Dynamische statusrapportage in de Windows-beveiligingsinstellingen; oplossingen voor problemen met BitLocker-herstel na updates van Secure Boot. [Extern bureaublad] Verbeterd: Weergave van het waarschuwingsvenster voor RDP-beveiliging. Bekend probleem geïntroduceerd: LSASS-opstartproblemen op domeincontrollers in PAM-omgevingen met meerdere domeinen (opgelost door KB5091573). | Niet van toepassing (Regressie) |
| KB5091573 | 19 april 2026 | Buiten de bandbreedte (OOB) | [Active Directory] Opgelost: Na het installeren van de beveiligingsupdate van april 2026 (KB5082123) kunnen domeincontrollers in multi-domeinforests die gebruikmaken van Privileged Access Management (PAM) problemen ondervinden bij het opstarten van LSASS, waardoor authenticatie en directoryservices worden geblokkeerd. Deze update bereidt apparaten ook voor op het verlopen van het Secure Boot-certificaat in juni 2026. | Niet van toepassing (Noodoplossing) |
Mocht deze handleiding lacunes in uw huidige PKI-beveiliging aan het licht hebben gebracht, dan biedt Encryption Consulting diensten aan die specifiek zijn ontworpen om deze aan te pakken.
Hoe kan encryptieconsulting helpen?
Encryption Consulting biedt gespecialiseerde diensten om kwetsbaarheden te identificeren en risico's te beperken door middel van PKI-diensten. Onze strategische begeleiding stemt PKI-oplossingen af op de organisatiedoelstellingen, waardoor de efficiëntie wordt verhoogd en de kosten worden geminimaliseerd. Door samen te werken met Encryption Consulting kunnen organisaties het volledige potentieel van PKI-oplossingen benutten, tastbare financiële voordelen realiseren en tegelijkertijd sterke beveiligingsmaatregelen handhaven.
Het PKI-beoordelingsdiensten Wij bieden een uitgebreide evaluatie van uw bestaande ADCS-omgeving en identificeren tekortkomingen op het gebied van CA-hygiëne, back-upprocedures, CRL/AIA-configuratie en databasestatus. Of uw CA-database nu in de loop der tijd ongecontroleerd is gegroeid of uw onderhoudsprocessen ongestructureerd zijn, ons team levert een gedetailleerd risicorapport met een stappenplan op basis van prioriteiten om uw PKI weer in een gezonde en controleerbare staat te brengen.
CertSecure Manager
Als je dit op grote schaal beheert, over honderden machines, wordt handmatige monitoring onhoudbaar. Een van de meest complete oplossingen op het gebied van CLM is... CertSecure Manager CertSecure Manager is ontworpen om de groeiende complexiteit van certificaatomgevingen aan te pakken en biedt een gecentraliseerde, geautomatiseerde en beleidsgestuurde aanpak van CLM.
- Gecentraliseerd certificaatbeheer: detecteert en inventariseert automatisch certificaten in cloud-, on-premise- en hybride omgevingen.
- Geautomatiseerd levenscyclusbeheer: regelt de uitgifte, verlenging en intrekking van certificaten met minimale menselijke tussenkomst.
- Beleidshandhavingsengine: zorgt voor naleving van het bedrijfsbeveiligingsbeleid en de industrienormen.
- Op rollen gebaseerd toegangsbeheer (RBAC): Biedt gedetailleerd toegangsbeheer om ervoor te zorgen dat alleen geautoriseerde gebruikers certificaten kunnen beheren.
- Integratie met toonaangevende CA's en DevOps-tools: Naadloze integratie met openbare en particuliere certificeringsinstanties, evenals CI/CD-pipelines.
- Realtime monitoring en waarschuwingen: Biedt dashboards en waarschuwingen voor verlopende of verkeerd geconfigureerde certificaten.
- Audit en rapportage: Houdt gedetailleerde logboeken en rapporten bij voor naleving van regelgeving en forensische analyses.
Conclusie
Voor bedrijfsbeheerders is de praktische conclusie duidelijk: patchbeheer voor PKI-infrastructuur kan niet langer als routine worden beschouwd. Een enkele Patch Tuesday-release kan een nieuwe handhavingsfase activeren, een ontsnappingsmogelijkheid in het register intrekken of, zoals april 2026 aantoonde, ervoor zorgen dat elke domeincontroller in een multi-domeinforest crasht bij het opnieuw opstarten.
De vijf OOB-noodupdates die Microsoft op 19 april 2026 heeft uitgebracht (in totaal zeven, inclusief hotpatches voor Azure Edition, binnen vijf dagen na Patch Tuesday op 14 april 2026) herinneren ons eraan dat zelfs goed geteste updates ernstige, omgevingsspecifieke fouten kunnen veroorzaken wanneer complexe authenticatiesystemen betrokken zijn.
Het Windows Production PCA 2011-certificaat dat door de meeste Windows-apparaten wordt gebruikt voor Secure Boot, verloopt naar verwachting in juni 2026. Microsoft is sinds februari 2026 bezig met het uitfaseren van nieuwe Secure Boot CA-certificaten via cumulatieve updates (KB5075899, KB5078740, KB5075906, KB5078766, KB5075904, KB5078752) met behulp van apparaatgerichte detectie met hoge betrouwbaarheid. Beheerders dienen het volgende te doen:
- Controleer of alle Server 2019-, 2022- en 2025-systemen de cumulatieve updates van februari of maart 2026 hebben ontvangen.
- Controleer of de nieuwe Secure Boot CA-certificaten zijn gedistribueerd.
- Controleer of BitLocker Recovery na de update is getest. Apparaten die de nieuwe certificaten niet vóór de vervaldatum ontvangen, kunnen bij de volgende herstart problemen ondervinden met Secure Boot.
De beste verdediging is op de hoogte blijven voordat updates in productie worden genomen:
- Controleer of elke CA die WHfB Key Trust- of Machine PKINIT-certificaten uitgeeft, is geregistreerd in de NTAuth-certificaatarchief. Voer `certutil -enterprise -store NTAuth` uit om de huidige NTAuth-CA's weer te geven. Sinds de invoering in oktober 2025 zullen certificaten van CA's buiten NTAuth niet meer voldoen aan de Kerberos-authenticatievereisten op domeincontrollers.
- Controleer uw certificaatsjablonen op zwakke koppelingen ruim vóór de handhavingsmomenten.
- Wanneer er een nieuwe Patch Tuesday-update verschijnt, vergelijk deze dan met deze handleiding voordat u deze implementeert op de domeincontrollers.
- Voer een controle uit voorafgaand aan elke belangrijke kwartaalbasislijn, en niet nadat de uitrol al is begonnen.
