Microsoft hat weitere Probleme eingeräumt, auf die Admins und Nutzer nach der Installation der jüngsten Sicherheitsupdates stoßen können. Sowohl Server- als auch Desktop-Betriebssysteme sind davon betroffen.
Im Windows-Release-Health-Center für Windows Server 2025 erklären Microsofts Entwickler, dass Windows Server 2025 in der Domaincontroller-Rolle (DC) – etwa, wenn sie als DC ein Active Directory hosten – nach einem Neustart "Netzwerkverkehr nicht korrekt verwalten" können. Dadurch sind Windows Server 2025 DCs möglicherweise nicht im Domänennetz erreichbar, oder fälschlicherweise durch Netzwerk-Ports und -Protokolle ansprechbar, die durch das Domänen-Firewall-Profil verhindert sein sollten.
Windows Server 2025 DC: Problem mit Firewall-Profilen
Das Problem gehe daraus hervor, dass die Nutzung des Domain-Firewall-Profils auf den Domaincontrollern fehlschlägt, sofern sie neu gestartet werden. Stattdessen komme dann das Standard-Firewall-Profil zum Einsatz. Im Ergebnis können Apps und Dienste, die auf dem DC laufen, oder auf Geräten im Netz laufen, fehlschlagen oder in der Domäne nicht erreichbar sein. Ein Gegenmittel hat Microsoft jedoch gefunden. Durch den Neustart des Netzadapters stelle sich das erwartete Verhalten – also die Nutzung des Firewall-Domain-Profils – wieder ein. Etwa durch den Befehl Restart-NetAdapter * an der Powershell lässt sich das erreichen, schreiben Microsofts Entwickler. Das ist vorerst bei jedem Neustart betroffener DCs nötig. IT-Verantwortliche können eine geplante Aufgabe einrichten, die diesen Adapter-Neustart nach einem Rechner-Neustart des DC durchführt, schlägt Microsoft weiter vor. Derweil arbeiten die Entwickler an einer Lösung des Problems.
Aber die Probleme hören bei Servern nicht auf, auch auf Windows-11-Clients kommt es nach der Installation der Windows-Sicherheitsupdates zu unerwünschten Nebeneffekten. So weist Microsoft in Notizen zum Sicherheitsupdate darauf hin, dass nach der Installation der Ordner %systemdrive%\inetpub – in der Regel also c:\inetpub – angelegt wird. Microsoft schreibt dazu: "Dieser Ordner sollte nicht gelöscht werden, unabhängig davon, ob Internetinformationsdienste (IIS) auf dem Zielgerät aktiviert ist. Dieses Verhalten ist Teil von Änderungen, die den Schutz erhöhen, und erfordert keine Aktion von IT-Administratoren und Endbenutzern." Der Patch, der das auslöst, schließt eine Rechteausweitungs-Sicherheitslücke in Windows (CVE-2025-21204, CVSS 7.8, Risiko "hoch").
Nun ist noch ein weiteres Problem bekanntgeworden, das bislang lediglich in den englischsprachigen Windows-Update-Anmerkungen für Windows 11 24H2 zu finden ist: Nach der Installation der Updates kann es beim Neustart zu einem Bluescreen of Death (BSoD) kommen. Eine "Bluescreen-Ausnahmebedingung mit dem Fehlercode 0x18B, die auf einen SECURE_KERNEL_ERROR hinweise" könne auftreten. Microsoft hat deshalb den Mechanismus Known-Issue-Rollback (KIR) angestoßen, der innerhalb von 24 Stunden auf Endkunden- und nicht-verwalteten-Geräten wirksam wird und die problematischen Update-Komponenten entfernt.
Microsoft hat derzeit vermehrt Pech mit den Windows-Updates. Zum vergangenen Wochenende musste das Unternehmen ein Update außer der Reihe anbieten, das Anzeigeprobleme bezüglich des Status von Gruppenrichtlinien korrigiert.
(dmk)
English (US) ·