{"id":323697,"date":"2026-04-14T08:01:14","date_gmt":"2026-04-14T06:01:14","guid":{"rendered":"https:\/\/borncity.com\/blog\/?p=323697"},"modified":"2026-04-14T08:06:28","modified_gmt":"2026-04-14T06:06:28","slug":"windows-haertung-neue-stufen-zum-14-april-2026","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2026\/04\/14\/windows-haertung-neue-stufen-zum-14-april-2026\/","title":{"rendered":"Windows-H\u00e4rtung: Neue Stufen zum 14. April 2026"},"content":{"rendered":"

\"Windows\"Am heutigen 14. April 2026 ist wieder Patchday, an dem Microsoft Sicherheitsupdates f\u00fcr die noch unterst\u00fctzten Windows-Systeme freigibt. Mit diesen Sicherheitsupdates werden bestimmte Stufen f\u00fcr die l\u00e4nger angek\u00fcndigten H\u00e4rtungsma\u00dfnahmen (Deployment per Unattend.xml<\/em>, Kerberos, etc.) umgesetzt. Hier eine kurze Erinnerung zu diesem Thema.<\/p>\n

<\/p>\n

\"\"Die Ank\u00fcndigung erfolgte bereits Ende letzter Woche im Message-Center<\/a> des Microsoft Windows Release Health-Dashboard.<\/p>\n

\"Windows-Hardening<\/a><\/p>\n

WDS-Support auf Netzlaufwerken endet<\/h2>\n

Die Windows Deployment Services, kurz WDS (engl. Windows Bereitstellungsdienste) erm\u00f6glichen die automatisierte Bereitstellung (Installation) von Windows-Installationen. Administratoren k\u00f6nnen WDS verwenden, um neue Windows-Clients mit einer netzwerkbasierten Installation \u00fcber eine unattended.xml-<\/em>Datei einzurichten.<\/p>\n

Microsoft schr\u00e4nkt aus Sicherheitsgr\u00fcnden die Funktionalit\u00e4t des Windows Deployment Services (WDS) ein. Die Unterst\u00fctzung einer\u00a0unattended.xml<\/em> zur Windows-Installation von Netzlaufwerken endet ab April 2026. Ich hatte Mitte Januar 2026 im Blog-Beitrag Windows: WDS-Support der unattend.xml auf Netzlaufwerken endet im April 2026<\/a> auf diese \u00c4nderung und die damit verbundenen Details hingewiesen. Zum 10. April 2026 erinnerte Microsoft im Supportbeitrag Windows Deployment Services (WDS): Hands-free deployment hardening (Phase 2)<\/a> daran, dass die Phase 2 zum 14. April 2026 mit den betreffenden Windows-Updates eingeleitet wird.<\/p>\n

Im Supportbeitrag hei\u00dft es, dass die bei der automatischen Bereitstellung verwendete Datei unattend.xml<\/em> eine Sicherheitsl\u00fccke darstellt, wenn sie \u00fcber einen nicht authentifizierten RPC-Kanal \u00fcbertragen wird.\u00a0Mit dem Sicherheitsupdate vom April 2026 tritt nun die zweite Phase der Sicherheitsverbesserungen f\u00fcr CVE-2026-0386<\/a> in Kraft. Durch diese \u00c4nderungen wird die automatische Bereitstellung standardm\u00e4\u00dfig deaktiviert, um ein sicheres Verhalten zu gew\u00e4hrleisten.<\/p>\n

IT-Administratoren k\u00f6nnen die standardm\u00e4\u00dfige Sicherheitseinstellung au\u00dfer Kraft setzen, um die auf Unattend.xml basierende automatische Bereitstellung weiterhin zu nutzen, dies wird jedoch nicht empfohlen. Dies ist keine sichere Konfiguration. IT-Administratoren sollten auf alternative Optionen umsteigen und die automatische Bereitstellung deaktivieren, um die Sicherheit zu erh\u00f6hen. Ausf\u00fchrliche Anleitungen finden sich unter Windows Deployment Services (WDS) Hands\u2011Free Deployment Hardening Guidance<\/a>.<\/p>\n

Weitere administrative Windows-H\u00e4rtungsma\u00dfnahmen<\/h2>\n

Zudem treten diverse administrative H\u00e4rtungsma\u00dfnahmen unter Windows mit der Installation der Sicherheitsupdates vom 14. April 2026 in die n\u00e4chste Phase ein. Microsoft erinnert im Supportbeitrag Hardening administrative actions: Windows imaging, cloning, and auth workflows<\/a> vom 9. April 2026 an diesen Sachverhalt.<\/p>\n

Dort hei\u00dft es, dass an Verwaltungsfunktionen f\u00fcr Windows derzeit\u00a0 verschiedene Sicherheitsverbesserungen vorgenommen werden. Diese erfordern m\u00f6glicherweise operative Anpassungen durch Administratoren, um die Sicherheitslage in der IT-Umgebung des Unternehmens zu gew\u00e4hrleisten.<\/p>\n

Mit dem Windows Preview-Update vom August 2025 wurden Ger\u00e4te gegen unbefugte Versuche, die Loopback-Erkennung zu umgehen, abgesichert. Wenn Administratoren jedoch Computer ohne Sysprep geklont haben, kann es zu Fehlern bei der Kerberos- und NTLM-Authentifizierung kommen.<\/p>\n

Dies ist beabsichtigt. Die empfohlene L\u00f6sung besteht darin, betroffene Ger\u00e4te mithilfe unterst\u00fctzter Imaging-Methoden neu zu installieren. Es ist auch eine vor\u00fcbergehende Abhilfe verf\u00fcgbar. Weitere Informationen finden sich im Techcommunity-Beitrag Hardening administrative actions: What IT pros need to know<\/a>.<\/p>\n

Ich erinnere auch Kerberos RC4-H\u00e4rtung gegen sie Schwachstelle CVE-2026-20833<\/a>, die im April 2026 in die Durchsetzungs-Phase (Enforcement) eintritt. Ich hatte im Blog-Beitrag\u00a0Windows Januar 2026-Updates bereiten RC4-Abschaltung vor<\/a> \u00fcber die Details berichtet.<\/p>\n

Zudem werden ab April 2026 \"cross-signierte\" Kerneltreiber blockiert (siehe meinen Beitrag Windows 11\/Server 2025 blocken ab April 2026 \"cross-signierte\" Kerneltreiber<\/a>). Der Ausschluss von Treiberentwicklern hatte die Tage ja f\u00fcr Irritationen gesorgt (siehe den Beitrag Microsoft Kontensperren: UTM auch betroffen<\/a> und die verlinkten weiteren Beitr\u00e4ge).<\/p>\n

\u00c4hnliche Artikel:<\/strong>
\nWindows 11 24H2: Preview Update KB5064081 (29. August 2025)<\/a>
\nWindows 10\/11: Preview Updates 26.\/29. August 2025<\/a>
\nWindows: WDS-Support der unattend.xml auf Netzlaufwerken endet im April 2026<\/a>
\nErinnerung: Im April 2026 endet die Unterst\u00fctzung f\u00fcr Windows Deployment Service (WDS)<\/a>
\nWindows Januar 2026-Updates bereiten RC4-Abschaltung vor<\/a>
\nWindows 11\/Server 2025 blocken ab April 2026 \"cross-signierte\" Kerneltreiber<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

Am heutigen 14. April 2026 ist wieder Patchday, an dem Microsoft Sicherheitsupdates f\u00fcr die noch unterst\u00fctzten Windows-Systeme freigibt. Mit diesen Sicherheitsupdates werden bestimmte Stufen f\u00fcr die l\u00e4nger angek\u00fcndigten H\u00e4rtungsma\u00dfnahmen (Deployment per Unattend.xml, Kerberos, etc.) umgesetzt. Hier eine kurze Erinnerung zu … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,185,301],"tags":[15577,4328,4315,3288],"class_list":["post-323697","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-update","category-windows","tag-patchday-4-2026","tag-sicherheit","tag-update","tag-windows-en"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/323697","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=323697"}],"version-history":[{"count":4,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/323697\/revisions"}],"predecessor-version":[{"id":323702,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/323697\/revisions\/323702"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=323697"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=323697"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=323697"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}