Microsoft hat das kumulative Update KB5087420 für Windows 11, Version 23H2 (2023 Update) im Rahmen des Patch-Dienstags vom Mai 2026 veröffentlicht. Das kumulative Update-Paket KB5087420 (Build 22631.7079) ist für Windows 11, Version 23H2 (Windows 11 2023 Update) auf x64- (amd64) und ARM64-Prozessoren für die Editionen Enterprise und Education bestimmt. Dieses Update enthält Qualitätsverbesserungen; neue Systemfunktionen werden nicht eingeführt.
- Erweiterung der Targeting-Daten für Secure Boot. Microsoft hat die Zusammensetzung der Targeting-Daten in Windows-Qualitätsupdates erweitert und damit die Anzahl der Geräte erhöht, die automatisch neue Secure Boot-Zertifikate erhalten können. Zertifikate werden erst nach anhaltenden Signalen einer erfolgreichen Updateinstallation bereitgestellt – dies gewährleistet eine kontrollierte schrittweise Einführung vor dem Ablauf der Zertifikate ab Juni 2026.
- Aktualisierung der COSA-Profile. Die Profile für Country and Operator Settings Asset (COSA) wurden aktualisiert, was die Unterstützung von Mobilfunkeinstellungen auf kompatiblen Geräten verbessert.
- Unterstützung für Sommerzeitumstellungen in Ägypten. Unterstützung für die Sommerzeitregeländerungen von 2023 in der Arabischen Republik Ägypten hinzugefügt.
- Enterprise State Roaming-Verwaltung über Windows Backup for Organizations. Die Verwaltung der Enterprise State Roaming-Funktion (ESR) ist jetzt über Windows Backup for Organizations-Richtlinien möglich, was die Einrichtung und Verwaltung der Gerätekonfiguration in Organisationen vereinfacht. Microsoft hat die ESR-Verwaltung ab Mai 2026 in Windows Backup for Organizations überführt.
- Verbesserung von Microsoft Defender SmartScreen. Microsoft Defender SmartScreen kann nun Hashwerte von unsignierten Dateien aus der Shell senden, um die Überprüfung der Anwendungsreputation mit modernen Sicherheitsmodellen zu verbessern.
- Qualitätsverbesserungen des Wartungsstapels (SSU). Das Update enthält Qualitätsverbesserungen des Wartungsstapels – der Komponente, die für die Installation von Windows-Updates verantwortlich ist.
Bekanntes Problem: BitLocker. Auf Geräten mit einer nicht empfohlenen BitLocker-Gruppenrichtlinienkonfiguration kann nach dem ersten Neustart nach der Updateinstallation ein BitLocker-Wiederherstellungsschlüssel erforderlich sein. Das Problem betrifft eine begrenzte Anzahl von Systemen, bei denen alle Bedingungen gleichzeitig erfüllt sind: BitLocker ist auf dem Systemlaufwerk aktiviert; die Gruppenrichtlinie Configure TPM platform validation profile for native UEFI firmware configurations ist konfiguriert, und PCR7 ist im Validierungsprofil enthalten (oder der entsprechende Registrierungsparameter wurde manuell gesetzt). Auf persönlichen Geräten, die nicht von der Unternehmens-IT verwaltet werden, sind diese Bedingungen unwahrscheinlich.
Das kumulative Update 5087420 für PCs wird über Windows Update automatisch für die Editionen Enterprise und Education installiert. Wechseln Sie dazu zu Einstellungen > Windows Update und klicken Sie auf Nach Updates suchen.
So funktionieren die neuen Funktionen:
Erweiterung der Secure Boot-Zieldaten: Das Prinzip basiert auf der Telemetrieanalyse erfolgreicher Update-Installationen. Microsoft erweiterte die Signale von Geräten zur Bestimmung der Bereitschaft für neue Secure Boot-Zertifikate. Zertifikate werden erst nach bestätigter korrekter vorheriger Updates ausgeliefert. Dies verhindert Massenausfälle bei der Zertifikatsrotation ab Juni 2026.
COSA-Profilaktualisierung: COSA (Country and Operator Settings Asset) sind XML-Dateien mit Mobilfunkparametern: APN, MMS, Roaming usw. Das Update ersetzt diese Dateien im System. Bei der Netzregistrierung liest Windows das aktuelle Profil und ermöglicht korrekte Verbindung ohne manuelle Eingabe.
Unterstützung für Sommerzeitänderungen in Ägypten: Das Update ändert die Systemdatenbank der Zeitzonen (Registry und tzres.dll). Windows erhält neue Übergangsregeln für Ägypten: Daten und Verschiebungen. Taskplaner und Systemuhr nutzen diese Daten zur automatischen Umstellung und vermeiden Abweichungen von lokalen Gesetzen.
Enterprise State Roaming-Verwaltung über Windows Backup für Organisationen: ESR synchronisierte Einstellungen (Wi-Fi-Passwörter, Designs, Sprache) über Azure AD. Ab Mai 2026 wird die Verwaltung in Windows Backup for Organizations-Richtlinien verlagert. Backup dient nun als zentraler Orchestrator: Das Gerät stellt Einstellungen aus der Cloud wieder her, nicht über direkten ESR-Kanal, was die Verwaltung vereinfacht.
Microsoft Defender SmartScreen-Verbesserung: Früher sendete SmartScreen vollständige Hashes nur für signierte Dateien. Jetzt berechnet der Browser oder die Windows-Shell für unsignierte Dateien deren Hash (SHA-256) und sendet ihn an den Defender-Clouddienst. Der Hash wird mit der Reputationsdatenbank abgeglichen. Substitutionsrisiko minimal — nur der Hash wird übertragen, nicht die Datei selbst.
Qualitätsverbesserungen des Servicing Stacks (SSU): SSU ist die Komponente, die Windows-Updates selbst installiert. Qualitätsverbesserung bedeutet Fehlerbehebungen im CAB-Dateiverarbeitungscode, Entpacker und Transaktionswarteschlangen. Ohne zuverlässigen SSU können andere Patches nicht korrekt angewendet werden. Dieses Update macht die Installation widerstandsfähiger gegen Stromausfälle und Metadatenbeschädigungen.
Bekanntes Problem: BitLocker: Bei einer nicht empfohlenen Gruppenrichtlinie (Configure TPM platform validation profile mit PCR7 aktiviert) erwartet das System bestimmte Integritätsmessungen. Nach dem Update ändert sich der Bootloader, PCR7 liefert einen anderen Hash, und TPM gibt den Schutz nicht frei. Der Wiederherstellungsschlüssel wird angefordert. Auf Heim-PCs mit Standardeinstellungen tritt das Problem nicht auf.
Offizielle Ankündigung auf der Microsoft-Website.
Die letzten 10 Windows-Updates:
| Update | Build | Version | Windows | Kanal | Datum |
|---|---|---|---|---|---|
| KB5089570 | 28000.2173 | 26H1 | Windows 11 | Preview | 2026-05-14 |
| KB5089573 | 26200.8514 | 25H2 | Windows 11 | Preview | 2026-05-14 |
| KB5087420 | 22631.7079 | 23H2 | Windows 11 | Stable | 2026-05-12 |
| KB5089548 | 28000.2113 | 26H1 | Windows 11 | Stable | 2026-05-12 |
| KB5087544 | 19045.7291 | 22H2 (ESU) | Windows 10 | Stable | 2026-05-12 |
| KB5089549 | 26200.8457 | 24H2/25H2 | Windows 11 | Stable | 2026-05-12 |
| KB5089417 | 26220.8370 | 25H2 | Windows 11 | Beta | 2026-05-08 |
| KB5089414 | 26300.8376 | 25H2 | Windows 11 | Experimental | 2026-05-08 |
| KB5089416 | 28020.2075 | 26H1 | Windows 11 | Experimental | 2026-05-08 |
| KB5083810 | 26220.8340 | 25H2 | Windows 11 | Beta | 2026-05-01 |