{"id":318623,"date":"2025-11-26T07:44:38","date_gmt":"2025-11-26T06:44:38","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=318623"},"modified":"2025-11-26T07:51:04","modified_gmt":"2025-11-26T06:51:04","slug":"windows-11-24h2-25h2-sept-2025-preview-update-kb5065789-erfordert-ggf-pin","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2025\/11\/26\/windows-11-24h2-25h2-sept-2025-preview-update-kb5065789-erfordert-ggf-pin\/","title":{"rendered":"Windows 11 24H2\/25H2: Sept. 2025 Preview-Update KB5065789 erfordert ggf. PIN"},"content":{"rendered":"

\"Windows\"Zum 29. September 2025 wurde das Preview-Update KB5065789 f\u00fcr Maschinen mit Windows 11 24H2 und 25H2 verteilt. Der in diesem und sp\u00e4teren Updates verteilte Code bewirkt, dass schrittweise eine Funktion auf den Clients ausgerollt wird, die dann eine PIN-Eingabe erzwingt. Darauf hat Microsoft in einem Supportbeitrag hingewiesen.<\/p>\n

<\/p>\n

Das Preview-Update KB5065789<\/h2>\n

\"\"Ich habe gerade mal im Blog-Beitrag Windows 10 22H2\/Windows 11 23H2: Preview Updates (23.\/25.\/29 September 2025)<\/a> nachgeschaut. Mit dem Preview-Update\u00a0KB5065789<\/a> vom 29. September 2025 wurden laut Supportbeitrag in Windows 11 Version 24H2 sowie 25H2 nur einige wenige Fixes ausgerollt.<\/p>\n

Ein Bug in Hyper-V wurde korrigiert und das Netzwerkproblem mit dem Server Message Block (SMB) v1 protocol on NetBIOS over TCP\/IP NetBIOS ist behoben worden. Das Update behob ebenfalls ein Problem, das die Einrichtung der Windows Hello-PIN mit dem Fehler 0x80090010 auf Ger\u00e4ten betrifft, die nach der Installation von Windows-Updates, die am oder nach dem Update KB5060842 vom 05.06.2023 ver\u00f6ffentlicht wurden, und mit Microsoft Entra ID-Dom\u00e4nen verbunden sind.<\/p>\n

Passkey-Support mit PIN war auch enthalten<\/h2>\n

Zum 25. November 2025 hat Microsoft dann im Change-Log des Support-Beitrags f\u00fcr das\u00a0 Preview-Update\u00a0KB5065789<\/a> vom 29. September 2025 die nachfolgende Erg\u00e4nzung hinzugef\u00fcgt (ist hier<\/a> aufgefallen).<\/p>\n

\"\u00c4nderung<\/p>\n

Mit dem September 2025 Preview-Update KB5065789<\/a> (und damit auch mittels der nachfolgenden kumulativen Updates) wurde eine Passkeys-Unterst\u00fctzung auf die Windows 11 Clients ausgerollt.\u00a0 Dazu hei\u00dft es in obigem Text:<\/p>\n

[Passkeys] Neu! Es wurde die Unterst\u00fctzung f\u00fcr die Einrichtung einer PIN f\u00fcr Sicherheitsschl\u00fcssel hinzugef\u00fcgt, falls diese noch nicht eingerichtet war, wenn sich vertrauende Parteien (Relying Parties, RP) w\u00e4hrend der Authentifizierung \u201eBenutzer\u00fcberpr\u00fcfung = Bevorzugt\" einstellen.<\/p><\/blockquote>\n

Gleichzeitig wird auf den Support-Beitrag (ID 5073129) mit dem Titel\u00a0Security keys might require a PIN after installing the September 2025 Windows preview update<\/a> verlinkt.<\/p>\n

\u00c4nderung bei der Authentifizierung eingef\u00fchrt<\/h2>\n

Im oben verlinkten Supportbeitrag erf\u00e4hrt man, dass Nutzer nach Installation des September 2025 Preview-Update KB5065789 (OS Builds 26200.6725 und 26100.6725) oder sp\u00e4teren Updates \"m\u00f6glicherweise eine PIN erstellen m\u00fcssen\", um sich mit einem Sicherheitsschl\u00fcssel anzumelden. Das gilt auch, wenn bei der ersten Registrierung keine PIN erforderlich war oder keine PIN festgelegt wurde.<\/p>\n

Verhalten nur bei FIDO2 ohne PIN<\/h3>\n

Dieses Verhalten tritt laut Microsoft auf, wenn eine vertrauende Partei (Relying Party, RP) oder ein Identit\u00e4tsanbieter (Identity Provider, IDP) bei der Authentifizierung mit einem Fast IDentity Online 2 (FIDO2)-Sicherheitsschl\u00fcssel, f\u00fcr den keine PIN festgelegt ist, die Option \"Benutzer\u00fcberpr\u00fcfung = Bevorzugt\" anfordert.<\/p>\n

Beabsichtigtes Verhalten, stufenweiser Rollout<\/h3>\n

Dies ist laut Microsoft ein beabsichtigtes Verhalten, das implementiert wurde, um die Konformit\u00e4t mit den WebAuthn-Spezifikationen zu gew\u00e4hrleisten. Weiterhin wurde die \"Unterst\u00fctzung f\u00fcr dieses Verhalten\" ab dem oben erw\u00e4hnten Preview-Update vom 29. September 2025 (KB5065789) schrittweise auf Windows 11-Ger\u00e4ten eingef\u00fchrt.<\/p>\n

Die Einf\u00fchrung wurde auf Windows 11-Clients nach der Installation des Windows-Sicherheitsupdates vom 11. November 2025 \u2013 KB5068861 (OS-Builds 26200.7171 und 26100.7171) oder sp\u00e4teren Updates abgeschlossen. Im Klartext: Es sollten nun alle Windows 11 Clients mit Version 24H2 und 25H2 dieses Verhalten zeigen.<\/p>\n

In diesem Szenario wird der PIN verlangt<\/h3>\n

Die seit dem 29. September 2025 ausgerollten Updates f\u00fcgten Unterst\u00fctzung f\u00fcr die Einrichtung einer PIN f\u00fcr Sicherheitsschl\u00fcssel hinzu, falls diese noch nicht eingerichtet war. Das gilt f\u00fcr das Szenario, dass vertrauende Parteien (Relying Parties, RP) \u201euserVerification\" in PublicKeyCredentialRequestOptions im WebAuthn-Authentifizierungsablauf auf \"preferred\" setzten.<\/p>\n

Erkl\u00e4rung des Hintergrunds<\/h2>\n

Der Hintergrund ist laut Microsoft, dass die Benutzer\u00fcberpr\u00fcfung (UV) best\u00e4tigt, dass der Benutzer anwesend und zur Verwendung eines Sicherheitsschl\u00fcssels berechtigt ist. Diese Best\u00e4tigung erfolgt in der Regel \u00fcber eine PIN oder biometrische Daten. Die Benutzer\u00fcberpr\u00fcfung kann auf \"Nicht empfohlen\", \"Bevorzugt\" oder \"Erforderlich\" eingestellt werden.<\/p>\n