Windows-Härtung: Neue Stufen zum 14. April 2026

Veröffentlicht am 14. April 2026 von Günter Born

WindowsAm heutigen 14. April 2026 ist wieder Patchday, an dem Microsoft Sicherheitsupdates für die noch unterstützten Windows-Systeme freigibt. Mit diesen Sicherheitsupdates werden bestimmte Stufen für die länger angekündigten Härtungsmaßnahmen (Deployment per Unattend.xml, Kerberos, etc.) umgesetzt. Hier eine kurze Erinnerung zu diesem Thema.

Die Ankündigung erfolgte bereits Ende letzter Woche im Message-Center des Microsoft Windows Release Health-Dashboard.

Windows-Hardening April 2026

WDS-Support auf Netzlaufwerken endet

Die Windows Deployment Services, kurz WDS (engl. Windows Bereitstellungsdienste) ermöglichen die automatisierte Bereitstellung (Installation) von Windows-Installationen. Administratoren können WDS verwenden, um neue Windows-Clients mit einer netzwerkbasierten Installation über eine unattended.xml-Datei einzurichten.

Microsoft schränkt aus Sicherheitsgründen die Funktionalität des Windows Deployment Services (WDS) ein. Die Unterstützung einer unattended.xml zur Windows-Installation von Netzlaufwerken endet ab April 2026. Ich hatte Mitte Januar 2026 im Blog-Beitrag Windows: WDS-Support der unattend.xml auf Netzlaufwerken endet im April 2026 auf diese Änderung und die damit verbundenen Details hingewiesen. Zum 10. April 2026 erinnerte Microsoft im Supportbeitrag Windows Deployment Services (WDS): Hands-free deployment hardening (Phase 2) daran, dass die Phase 2 zum 14. April 2026 mit den betreffenden Windows-Updates eingeleitet wird.

Im Supportbeitrag heißt es, dass die bei der automatischen Bereitstellung verwendete Datei unattend.xml eine Sicherheitslücke darstellt, wenn sie über einen nicht authentifizierten RPC-Kanal übertragen wird. Mit dem Sicherheitsupdate vom April 2026 tritt nun die zweite Phase der Sicherheitsverbesserungen für CVE-2026-0386 in Kraft. Durch diese Änderungen wird die automatische Bereitstellung standardmäßig deaktiviert, um ein sicheres Verhalten zu gewährleisten.

IT-Administratoren können die standardmäßige Sicherheitseinstellung außer Kraft setzen, um die auf Unattend.xml basierende automatische Bereitstellung weiterhin zu nutzen, dies wird jedoch nicht empfohlen. Dies ist keine sichere Konfiguration. IT-Administratoren sollten auf alternative Optionen umsteigen und die automatische Bereitstellung deaktivieren, um die Sicherheit zu erhöhen. Ausführliche Anleitungen finden sich unter Windows Deployment Services (WDS) Hands‑Free Deployment Hardening Guidance.

Weitere administrative Windows-Härtungsmaßnahmen

Zudem treten diverse administrative Härtungsmaßnahmen unter Windows mit der Installation der Sicherheitsupdates vom 14. April 2026 in die nächste Phase ein. Microsoft erinnert im Supportbeitrag Hardening administrative actions: Windows imaging, cloning, and auth workflows vom 9. April 2026 an diesen Sachverhalt.

Dort heißt es, dass an Verwaltungsfunktionen für Windows derzeit  verschiedene Sicherheitsverbesserungen vorgenommen werden. Diese erfordern möglicherweise operative Anpassungen durch Administratoren, um die Sicherheitslage in der IT-Umgebung des Unternehmens zu gewährleisten.

Mit dem Windows Preview-Update vom August 2025 wurden Geräte gegen unbefugte Versuche, die Loopback-Erkennung zu umgehen, abgesichert. Wenn Administratoren jedoch Computer ohne Sysprep geklont haben, kann es zu Fehlern bei der Kerberos- und NTLM-Authentifizierung kommen.

Dies ist beabsichtigt. Die empfohlene Lösung besteht darin, betroffene Geräte mithilfe unterstützter Imaging-Methoden neu zu installieren. Es ist auch eine vorübergehende Abhilfe verfügbar. Weitere Informationen finden sich im Techcommunity-Beitrag Hardening administrative actions: What IT pros need to know.

Ich erinnere auch Kerberos RC4-Härtung gegen sie Schwachstelle CVE-2026-20833, die im April 2026 in die Durchsetzungs-Phase (Enforcement) eintritt. Ich hatte im Blog-Beitrag Windows Januar 2026-Updates bereiten RC4-Abschaltung vor über die Details berichtet.

Zudem werden ab April 2026 "cross-signierte" Kerneltreiber blockiert (siehe meinen Beitrag Windows 11/Server 2025 blocken ab April 2026 "cross-signierte" Kerneltreiber). Der Ausschluss von Treiberentwicklern hatte die Tage ja für Irritationen gesorgt (siehe den Beitrag Microsoft Kontensperren: UTM auch betroffen und die verlinkten weiteren Beiträge).

Ähnliche Artikel:
Windows 11 24H2: Preview Update KB5064081 (29. August 2025)
Windows 10/11: Preview Updates 26./29. August 2025
Windows: WDS-Support der unattend.xml auf Netzlaufwerken endet im April 2026
Erinnerung: Im April 2026 endet die Unterstützung für Windows Deployment Service (WDS)
Windows Januar 2026-Updates bereiten RC4-Abschaltung vor
Windows 11/Server 2025 blocken ab April 2026 "cross-signierte" Kerneltreiber

Dieser Beitrag wurde unter Sicherheit, Update, Windows abgelegt und mit , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros. Kommentare abseits des Themas bitte unter Diskussion. Kommentare, die gegen die Regeln verstoßen, werden rigoros gelöscht.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.