Patchday: Windows Server-Updates (14. April 2026)

Zum 14. April 2026 (zweiter Dienstag im Monat, Patchday bei Microsoft) wurden verschiedene kumulative Updates für die unterstützten Versionen von Windows Server freigegeben. Nachfolgend habe ich die bereitgestellten Updates samt einigen Details für diese Windows Server-Versionen (von Windows Server 2012 bis 2025) herausgezogen.

Die nachfolgend aufgeführten Updates beheben die in Microsoft Security Update Summary (14. April 2026) beschriebenen und für Windows Server relevanten Schwachstellen.

Updates für Windows Server 2025

Eine Liste der Updates für Windows Server 2025 lässt sich auf dieser Microsoft-Webseite abrufen. Für Windows Server 2025 wurde das kumulative Update KB5082063 freigegeben, welches Sicherheitspatches und diverse Fixes beinhaltet.

• [Secure Boot]
  • With this update, Windows quality updates include additional high confidence device targeting data, increasing coverage of devices eligible to automatically receive new Secure Boot certificates. Devices receive the new certificates only after demonstrating sufficient successful update signals, maintaining a controlled and phased rollout.
  • This update addresses an issue where the device might enter BitLocker Recovery after the Secure Boot updates.
• [Kerberos protocol] This update changes the default DefaultDomainSupportedEncTypes value for Kerberos Key Distribution Center (KDC) operations to leverage AES-SHA1 for accounts that don't have an explicit msds-SupportedEncryptionTypes Active Directory attribute defined. For more information see, How to manage Kerberos KDC usage of RC4 for service account ticket issuance changes related to CVE-2026-20833.
• [Authentication] This update improves how Windows uses Kerberos encryption policies during authentication. After you install this update, Windows reads the configured policy settings as expected, which helps ensure encryption behavior is applied consistently across the domain.
• [Bluetooth] This update improves Bluetooth device management in Settings and Quick Settings, helping connected devices appear consistently and making them easier to add and manage.
• [Graphics] This update improves color rendering when printing from Win32 desktop apps.
• [Networking] This update improves reliability when Windows uses SMB compression over QUIC. After you install this update, SMB compression requests over QUIC complete more consistently, reducing the likelihood of timeouts and supporting smoother, more dependable performance.
• [PowerShell] This update improves how the Set-GPPrefRegistryValue cmdlet in PowerShell imports registry preference values. The cmdlet now preserves each imported value in full, including the final character.
• [Remote Desktop] This update improves protection against phishing attacks that use Remote Desktop (.rdp) files. When you open an .rdp file, Remote Desktop shows all requested connection settings before it connects, with each setting turned off by default. A one-time security warning also appears the first time you open an .rdp file on a device. For more information, see Understanding security warnings when opening Remote Desktop (RDP) files.
• ​​​​​​​[Texts and Fonts] This update improves Windows fonts by adding the new Saudi Riyal currency symbol. This change helps keep text clear, accurate, and visually consistent across your Windows apps and experiences​​​​​​​.
• [Windows Deployment Services (WDS)] This update disables the "Hands-Free Deployment" feature in WDS by default and is no longer a supported feature. For more information about this change, see Windows Deployment Services (WDS) Hands-Free Deployment Hardening Guidance related to CVE-2026-0386.

Dieses Update wird automatisch von Windows Update heruntergeladen und installiert, ist aber auch im Microsoft Update Catalog und per WSUS sowie WUfB erhältlich. Im Patch ist das aktuelle Windows Servicing Stack Update integriert. Details zum Update sowie ggf. verursachte Probleme und Installationsvoraussetzungen sind im Support-Beitrag aufgeführt.

Updates für Windows Server 2022/23H2

Für Windows Server 2022 sowie sowie für Windows Server 23H2 stehen folgende Updates zur Verfügung.

Update KB5082060 für Windows Server 23H2

Eine Liste der Updates für Windows Server 23H2 lässt sich auf dieser Microsoft-Webseite abrufen. Für Windows Server 23H2 wurde das kumulative Update KB5082060 freigegeben, welches Sicherheitspatches und verschiedene Fixes beinhaltet.

• [Graphics]
  • This update improves stability for certain GPU configurations. It helps games and 3D apps run more reliably during intensive graphics use.
  • This update improves stability affecting certain GPU configurations, helping devices shut down more reliably.​​​​​​​
• [Kerberos protocol] This update changes the default DefaultDomainSupportedEncTypes value for Kerberos Key Distribution Center (KDC) operations to leverage AES-SHA1 for accounts that do not have an explicit msds-SupportedEncryptionTypes Active Directory attribute defined. For more information see, Windows Deployment Services (WDS) Hands-Free Deployment Hardening Guidance related to CVE-2026-0386.
• [Networking] This update improves reliability when Windows uses SMB compression over QUIC. After you install this update, SMB compression requests over QUIC complete more consistently, reducing the likelihood of timeouts and supporting smoother, more dependable performance.
• [Remote Desktop] This update improves protection against phishing attacks that use Remote Desktop (.rdp) files. When you open an .rdp file, Remote Desktop shows all requested connection settings before it connects, with each setting turned off by default. A one-time security warning also appears the first time you open an .rdp file on a device. For more information, see Understanding security warnings when opening Remote Desktop (RDP) files.
• [Secure Boot] This update addresses an issue where the device might enter BitLocker Recovery after the Secure Boot updates.
• [Windows Deployment Services (WDS)] This update disables the "Hands-Free Deployment" feature in WDS by default and is no longer a supported feature. For more information about this change, see Windows Deployment Services (WDS) Hands-Free Deployment Hardening Guidance related to CVE-2026-0386.

Dieses Update wird automatisch von Windows Update heruntergeladen und installiert, ist aber auch im Microsoft Update Catalog und per WSUS sowie WUfB erhältlich. Im Patch ist das aktuelle  Windows Servicing Stack Update integriert. Details zum Update sowie ggf. verursachte Probleme und Installationsvoraussetzungen sind im Support-Beitrag aufgeführt.

Update KB5082142 für Windows Server 2022

Eine Liste der Updates für Windows Server 2022 lässt sich auf dieser Microsoft-Webseite abrufen. Für Windows Server 2022 wurde das kumulative Update KB5082142 freigegeben, welches Sicherheitspatches und diverse Bug-Fixes beinhaltet.

• [Connectivity] This update improves the reliability of audio features in Windows, helping reduce system unresponsiveness related to sound or audio activity.
• [Kernel] This update improves system stability during large file operations. Users should experience fewer unexpected interruptions while working with or transferring large files.
• [Kerberos protocol] This update changes the default DefaultDomainSupportedEncTypes value for Kerberos Key Distribution Center (KDC) operations to leverage AES-SHA1 for accounts that do not have an explicit msds-SupportedEncryptionTypes Active Directory attribute defined. For more information see, How to manage Kerberos KDC usage of RC4 for service account ticket issuance changes related to CVE-2026-20833.
• [Networking] This update improves reliability when Windows uses SMB compression over QUIC. After you install this update, SMB compression requests over QUIC complete more consistently, reducing the likelihood of timeouts and supporting smoother, more dependable performance.
• [Remote Desktop] This update improves protection against phishing attacks that use Remote Desktop (.rdp) files. When you open an .rdp file, Remote Desktop shows all requested connection settings before it connects, with each setting turned off by default. A one-time security warning also appears the first time you open an .rdp file on a device. For more information, see Understanding security warnings when opening Remote Desktop (RDP) files.
• [Secure Boot]
  • With this update, Windows quality updates include additional high confidence device targeting data, increasing coverage of devices eligible to automatically receive new Secure Boot certificates. Devices receive the new certificates only after demonstrating sufficient successful update signals, maintaining a controlled and phased rollout.
  • This update addresses an issue where the device might enter BitLocker Recovery after the Secure Boot updates.
• [Texts and Fonts] This update improves Windows fonts by adding the new Saudi Riyal currency symbol. This change helps keep text clear, accurate, and visually consistent across your Windows apps and experiences.
• [Windows Deployment Services (WDS)] This update disables the "Hands-Free Deployment" feature in WDS by default and is no longer a supported feature. For more information about this change, see Windows Deployment Services (WDS) Hands-Free Deployment Hardening Guidance related to CVE-2026-0386.

Dieses Update wird automatisch von Windows Update heruntergeladen und installiert, ist aber auch im Microsoft Update Catalog und per WSUS sowie WUfB erhältlich. Im Patch ist das aktuell Windows Servicing Stack Update integriert. Details zum Update sowie ggf. verursachte Probleme und Installationsvoraussetzungen sind im Support-Beitrag aufgeführt.

Updates für Windows Server 2016/2019

Eine Liste der Updates für Windows Server 2016 und 2019 lässt sich auf dieser Microsoft-Webseite abrufen. Ich habe nachfolgend die betreffenden Update-Informationen herausgezogen.

Update KB5082123 für Windows Server 2019

Das kumulative Update KB5082123 steht nicht nur für Windows 10 2019 Enterprise LTSC etc. bereit, sondern auch für Windows Server 2019. Das Update beinhaltet Sicherheitsfixes, und Verbesserungen bzw. Fehlerbehebungen (auf den Registerreiter zu Server 2019 umstellen), die im Supportbeitrag aufgeführt sind.

• [PowerShell (known issue)] Fixed: After installing Windows updates released on or after January 13, 2026, Japanese language installations of Windows Server 2019 might not correctly display Japanese characters in the PowerShell console.
• [Remote Desktop] This update improves protection against phishing attacks that use Remote Desktop (.rdp) files. When you open an .rdp file, Remote Desktop shows all requested connection settings before it connects, with each setting turned off by default. A one-time security warning also appears the first time you open an .rdp file on a device. For more information, see Understanding security warnings when opening Remote Desktop (RDP) files.
• [Windows Deployment Services (WDS)] This update disables the "Hands-Free Deployment" feature in WDS by default and is no longer a supported feature. For more information about this change, see Windows Deployment Services (WDS) Hands-Free Deployment Hardening Guidance related to CVE-2026-0386.
• [Kerberos protocol] This update changes the default DefaultDomainSupportedEncTypes value for Kerberos Key Distribution Center (KDC) operations to leverage AES-SHA1 for accounts that do not have an explicit msds-SupportedEncryptionTypes Active Directory attribute defined. For more information see, How to manage Kerberos KDC usage of RC4 for service account ticket issuance changes related to CVE-2026-20833.
• [Secure Boot] 
  • ​​​​​​​This update enables dynamic status reporting for Secure Boot states in the Windows Security App (Settings > Update & Security > Windows Security). Learn more about the status alerts via badges and notifications. Note that these enhancements are disabled by default on commercial devices and servers.
  • This update fixes an issue that could cause a device to enter BitLocker Recovery after Secure Boot updates.
  • With this update, Windows quality updates include additional high confidence device targeting data, increasing coverage of devices eligible to automatically receive new Secure Boot certificates. Devices receive the new certificates only after demonstrating sufficient successful update signals, maintaining a controlled and phased rollout.

Das Update wird automatisch von Windows Update heruntergeladen und installiert, ist aber auch im Microsoft Update Catalog, per WSUS und WUfB erhältlich. Microsoft hat zudem das Service Stack Update (SSU) aktualisiert. Beachtet die im Support-Beitrag beschriebene Installationsreihenfolge, ggf. die Hinweise zu weiteren Anforderungen und eventuell vorhandener Probleme.

Update KB5078938- für Windows Server 2016

Das kumulative Update KB5078938- steht nicht nur für Windows 10 2016 Enterprise LTSC, sondern auch für Windows Server 2016, bereit. Das Update beinhaltet Sicherheitsfixes, Fehlerbehebungen und Verbesserungen, die ggf. im Supportbeitrag aufgeführt werden.

• [Windows Component Services (WinCS)] This update addresses an issue that affects Windows Component Services (WinCS) on Windows 10, version 1607 and Windows Server 2016. Some WinCS components were missing. Because of this, you could not turn on Secure Boot using WinCS.
• [Remote Desktop] This update improves protection against phishing attacks that use Remote Desktop (.rdp) files. When you open an .rdp file, Remote Desktop shows all requested connection settings before it connects, with each setting turned off by default. A one-time security warning also appears the first time you open an .rdp file on a device. For more information, see Understanding security warnings when opening Remote Desktop (RDP) files.
• [Windows Deployment Services (WDS)] This update disables the "Hands-Free Deployment" feature in WDS by default and is no longer a supported feature. For more information about this change, see Windows Deployment Services (WDS) Hands-Free Deployment Hardening Guidance related to CVE-2026-0386.
• [Kerberos protocol] This update changes the default DefaultDomainSupportedEncTypes value for Kerberos Key Distribution Center (KDC) operations to leverage AES-SHA1 for accounts that do not have an explicit msds-SupportedEncryptionTypes Active Directory attribute defined. For more information see, How to manage Kerberos KDC usage of RC4 for service account ticket issuance changes related to CVE-2026-20833.
• [Secure Boot] With this update, Windows quality updates include additional high confidence device targeting data, increasing coverage of devices eligible to automatically receive new Secure Boot certificates. Devices receive the new certificates only after demonstrating sufficient successful update signals, maintaining a controlled and phased rollout. ​​​​​​​

Das Update wird automatisch von Windows Update heruntergeladen und installiert, ist aber auch im Microsoft Update Catalog, per WSUS und WUfB erhältlich. Microsoft hat zudem das Service Stack Update (SSU) aktualisiert. Beachtet die im Support-Beitrag beschriebenen Installationsanforderungen und eventuelle Hinweise auf vorhandene Probleme.

Updates für Windows Server 2012 / R2

Windows Server 2012/R2 sind im Oktober 2023 aus dem Support gefallen und bekommen nur noch mit ESU-Lizenz Updates. Beachtet die Hinweise auf die Installationsreihenfolge für Windows Server, die Microsoft in den KB-Artikeln angibt.

Update KB5082126 für Windows Server 2012 R2

Die Update-Historie für Windows Server 2012 R2 ist auf dieser Microsoft-Seite zu finden. Für Windows Server 2012 R2 wurde Update KB5082126 (Monthly Rollup for Windows Server 2012 R2) für Systeme mit ESU-Lizenz freigegeben.

[Remote Desktop] Improved: This update improves protection against phishing attacks that use Remote Desktop (.rdp) files. When you open an .rdp file, Remote Desktop shows all requested connection settings before it connects, with each setting turned off by default. A one-time security warning also appears the first time you open an .rdp file on a device. For more information, see Understanding security warnings when opening Remote Desktop (RDP) files.

Dieses Update wird in Windows Server 2012 R2 automatisch von Windows Update heruntergeladen und installiert, ist aber auch im Microsoft Update Catalog sowie per WSUS erhältlich. Details zu Fixes sowie ggf. bekannte Probleme in Verbindung mit dem Update sind im Supportbeitrag genannt.

Update KB5082127 für Windows Server 2012

Die Update-Historie für Windows Server 2012 ist auf dieser Microsoft-Seite zu finden. Für Windows Server 2012 mit ESU-Lizenz wurde Update KB5082127 (Monthly Rollup for Windows Server 2012) freigegeben. Es enthält Sicherheitspatches und Bug-Fixes.

[Remote Desktop] Improved: This update improves protection against phishing attacks that use Remote Desktop (.rdp) files. When you open an .rdp file, Remote Desktop shows all requested connection settings before it connects, with each setting turned off by default. A one-time security warning also appears the first time you open an .rdp file on a device. For more information, see Understanding security warnings when opening Remote Desktop (RDP) files.

Dieses Update ist im Microsoft Update Catalog sowie per WSUS erhältlich. Bei einer manuellen Installation ist das neueste Servicing Stack Update (SSU) vorher zu installieren – wobei dieses SSU nicht mehr deinstalliert werden kann. Probleme im Zusammenhang mit dem Update sind im KB-Artikel angegeben.

Details zu obigen Updates sind im Zweifelsfall den jeweiligen Microsoft KB-Artikeln zu entnehmen.

Ähnliche Artikel:
Microsoft Security Update Summary (14. April 2026)
Patchday: Windows 10/11 Updates (14. April 2026)
Patchday: Windows Server-Updates (14. April 2026)
Patchday: Microsoft Office Updates (14. April 2026)