Glaubt man den Statistiken, dann schrumpft der Anteil an Windows 10 stetig weiter. Trotzdem stellt Microsoft weiterhin im Rahmen des ESU-Programms Sicherheitsupdates bereit. In diesem Monat ist der Sicherheitspatch die KB 5087544. Wodurch sich die Versionsnummer auf die Windows 10 22H2 19045.7291 ändert.
Falls ihr noch beim Oktober-Update sein solltet, dann hilft euch das Out of Band Update KB5071959 für die ESU-Registrierung. Und bei einem lokalen Account dann das Script für die erweiterten Updates.
Mit den erweiterten Sicherheitsupdates (ESU) werden keine optionalen Updates mehr bereitgestellt. Falls Microsoft es für nötig hält, werden nicht-sicherheitsrelevante Korrekturen mit diesem Update integriert. Seit dem 8. April werden auch die Anzeigen unter Windows Sicherheit zu den Secure Boot Zertifikaten angezeigt. Mit diesem Update werden die Änderungen ausgeweitet.
Bekannte Probleme durch die KB5087544
- Bei Geräten mit einer nicht empfohlenen BitLocker-Gruppenrichtlinienkonfiguration muss möglicherweise der BitLocker-Wiederherstellungsschlüssel eingegeben werden. – Bei einigen Geräten mit einer nicht empfohlenen BitLocker-Gruppenrichtlinienkonfiguration muss möglicherweise beim ersten Neustart nach der Installation dieses Updates der BitLocker-Wiederherstellungsschlüssel eingegeben werden. Dieses Problem betrifft nur eine begrenzte Anzahl von Systemen.
Korrekturen und Verbesserungen durch die KB5087544
- Dieses Update behebt Sicherheitsprobleme im Windows-Betriebssystem.
- Die einzelnen Sicherheitslücken, die geschlossen wurden, könnt ihr hier nachlesen
- Sicherheitswarnungen für Remotedesktop (bekanntes Problem) Behoben: Der Dialog mit der Sicherheitswarnung für die Remotedesktopverbindung wurde in Konfigurationen mit mehreren Monitoren und unterschiedlichen Bildschirmskalierungseinstellungen möglicherweise nicht korrekt dargestellt. Dieses Problem trat möglicherweise nach der Installation des am 14. April 2026 veröffentlichten Windows-Sicherheitsupdates (KB5082200) auf.
- Secure Boot Dieses Update aktiviert die dynamische Statusmeldung für Secure-Boot-Zustände in der Windows-Sicherheits-App. Mit diesem Update enthalten Windows-Qualitätsupdates zusätzliche, äußerst zuverlässige Daten zur Gerätezielausrichtung, wodurch die Abdeckung der Geräte erhöht wird, die automatisch neue Secure Boot-Zertifikate erhalten können. Geräte erhalten die neuen Zertifikate erst, nachdem sie ausreichend erfolgreiche Update-Signale gezeigt haben, wodurch eine kontrollierte und schrittweise Einführung gewährleistet wird.
- Nachtrag: Dieses Update fügt auf berechtigten Geräten einen neuen Ordner „SecureBoot“ unter „C:\Windows“ hinzu. Der Ordner enthält Beispielskripte, die für Unternehmen mit IT-Fachkräften gedacht sind, die Updates für ihren gesamten Gerätepark aktiv verwalten. Diese Skripte können verwendet werden, um den Status von Secure-Boot-Zertifikatsupdates zu ermitteln und die Bereitstellung über einen sicheren Rollout-Mechanismus in einer Active-Directory-Umgebung zu automatisieren. Weitere Informationen finden Sie im Leitfaden zur End-to-End-Automatisierung von Secure Boot.
- support.microsoft
Manueller Download der KB5087544
Windows 10 Tutorials und Hilfe
In unserem Windows 10 Wiki findet ihr sehr viele hilfreiche Tipps und Tricks. Falls ihr Fragen habt, dann stellt diese ganz einfach bei uns im Forum.
- Installationsmedien: Aktuelle Installationsdateien findet ihr hier immer in der rechten Sidebar. Windows 10 22H2 19045 ISO / ESD
- Installation: Windows 10 Clean installieren, Win 10 2004 bis 22H2 neu installieren
- Reparaturen: Inplace Upgrade Reparatur, Win 10 reparieren über DISM, sfc und weiteres, Windows Update reparieren, Startmenü reparieren, Apps reparieren, Store reparieren, Netzwerk reparieren
- Anmeldung: Win 10 automatische Anmeldung
- Entfernen, Deinstallieren: Apps deinstallieren
- Datei Explorer: Ordner unter Dieser PC entfernen, Netzwerk, OneDrive u.a. im Explorer entfernen
- Richtige Nutzung: Startmenü richtig nutzen, Suche richtig nutzen,
- Wichtig: In jedem Tutorial steht, für welche Version es geeignet ist.
https://www.deskmodder.de/blog/2026/04/14/kb5082200-windows-10-22h2-manueller-download-sicherheitspatch-maerz-2026-esu/#comment-333557
Immerhin konnte das Secure Boot Problem inzwischen dadurch gelöst werden, dass der Computer Provider in der Lage war, ein BIOS Update für das im Jahr 2017 erschienene und in Betrieb genommene Gerät bereitzustellen.
Windows-Sicherheit > Gerätesicherheit:
„Der sichere Start ist aktiviert, und alle erforderlichen Zertifikatupdates wurden angewendet. Es sind keine weiteren Zertifikatänderungen erforderlich.“
„Ihr Gerät erfüllt die Anforderungen für standardmäßige Hardwaresicherheit.“
Dank an Shuttle Computer für den hervorragenden Support!
auf meinen beiden W10P-PC sind die Update ohne sichtbare Probleme durchgelaufen. Allerdings hat der Installprozess auf dem PC18 mit dem iE8400 (auf ASUS PC5E) bei 20% sehr lange gehangen. Dagegen war der Installprozess auf dem PC22 mit i7 Gen 3 rasend schnell fertig.
KB5088863 für Net Framework wäre auch zu haben.
.NET
8.0.27: https://dotnet.microsoft.com/en-us/download/dotnet/8.0
9.0.16: https://dotnet.microsoft.com/en-us/download/dotnet/9.0
Nachtrag:
10.0.8: https://dotnet.microsoft.com/en-us/download/dotnet/10.0
Mein private OS-Statistik (6 PCs/Notebooks) sieht wie folgt aus:
– 95% Win10 ohne ESU, aber mit AV
– 5% Linux Mint
– Null Prozent Win11.
Auf Arbeit kotzen alle Nutzer und Supporter über W11 ab.
Kaum eine W11-Installation hält länger als 2 Jahre … Super! Danke Microsoft!
Und das bei einer 4-stelligen Rechnerzahl … 🤮
Ach da fallen mir noch 2 Kalauer ein:
Ach Bill: mal GATES, mal GATES nicht …
und
„Läuft die Software nicht so oft, ist sie bestimmt von Microsoft“ …. 😆
Tja und ich hab Win 11, Linux, Winserver 2025 auf einem Rechner. Brauche nur ein Rechner.
Und win 11 läuft seit 2.2023 ohne absturz.
Und 3 Tage später wolte ich keine win 10 mehr sehen. Brr und wenn ich aus spass mir noch ein Win 10 installiere, alles auf einer Realen SSD, muss ich gleich ans Mittelalter denken so im Vergleich win 10 vs win 11. Gerade die Chaos Einstellung in win 10. Brr
Also mein MS365 läuft sehr oft.
Nur Linux wird fast nie gestartet bei mir, unwichtig.
Ich finde Windows 11 genial.
Kannst du mir sagen, wo ich in Win 11 die Einstellung zur Verkleinerung der Taskleiste finde, die ich in Win XP, 7, 10 nutze?
Achso, das ist Mittelalter, sorry.
-> Bleibe bei Win 10 auf Hauptsystem solange das möglich ist, oder bis Win 11 vernünftige Einstellungen hat…
Zuhause:
4x Windows 10 Pro mit ESU, aber einmal bewusst ohne AV (auch kein Defender; und ja, das hat Gründe und ja das Teil hängt am Internet und macht Sachen)
1x Windows 11 Pro
1x Windows 10 IoT Enterprise LTSC 2021
1x CrunchBang++
1x iPadOS 26.4 oder so auf nem iPad Pro 12.9
Das einzige, was rumzickt und wirklich extrem nervig ist, ist das iPad. Aber das liegt zu 99% daran, dass ich bzw. meine Frau von dem Teil Dinge erwarten, weil wir es eben anders gewohnt sind, obwohl die gar nicht vorgesehen sind. Meine Frau wollte halt unbedingt so ein Teil haben. Habe ihr mehrfach abgeraten, Alternativen angeboten, ihr gesagt, dass ich kein angefressenes Obst im Haus will etc. Hat nichts geholfen. Sie hat es trotzdem gekauft und ist jetzt am jammern, dass die Hardware zwar mega geil sei, aber dafür die Software eine absolut unerträgliche Katastrophe und ob man da nicht was brauchbares installieren könnte. Tja, kann man nicht. Viel Erfolg beim nächsten Mal.
Büro:
Ca. 400x Windows 11 Pro/Enterprise/IoT/Server je nach Anwendungsfall. Von Beginn an absolut keine Probleme. Alle 5 Jahre tauschen wir hier sämtliche Laptops gegen neue Hardware, weil die dann meist eh durch ist. Aber genauso lange funktioniert auch Windows 11 auf den Geräten. Keine Abstürze, keine Schmerzen. Manchmal ein bisschen langsam. Also spürbar langsam. Aber ansonsten absolut zuverlässig und keine Klagen – weder von den Usern, noch vom Support. Aber ich muss dazu sagen, dass ich auch ein sehr kompetentes Team unter mir habe. Die leisten hervorragende Arbeit und sorgen dafür, dass unsere gesamte Infrastruktur weltweit sauber und zuverlässig funktioniert. Danke nochmals an dieser Stelle, auch wenn sie das hier vermutlich nie lesen werden.
iPad und Probleme? Das ist das einzige Gerät, dass am wenigsten Probleme macht. Ich bin auch kein Apple Fan, aber die Teile machen, was sie sollen.
Ich habe keine Ahnung, was ihr damit macht, wir haben mittlerweile drei (alte, gebrauchte) iPads unterschiedlicher Ausstattung, die als Zeitungs- bzw. Zeitschriften-Lesegerät angeschafft wurden (PressReader, bzw. Onleihe ist Dein Freund), um am Frühstückstisch nicht mehr mit Papier durchs Müsli zu rauschen. Als Lesegerät (und gelegentliches Surfen) sind sie optimal, dank des guten Bildschirms. Apple bastelt zwar an seinem iOS rum, aber bisher läuft alles glatt.
Ein Android-Tablett von Samsung, das vor langer Zeit angeschafft wurde, hat mich davon abgehalten, jemals wieder ein Android-Tab in die Hand zu nehmen. Obwohl es relativ aktuell war, hat Samsung einfach den Support eingestellt (Android 4 und niemals ein Update!). Ich hab’s mit LineageOS eine zeitlang am Leben gehalten, aber mittlerweile entsorgt.
Ich habe noch ein Frage zum Secure Boot mit Win10 und einem Asus Z-170A-Board: Ich habe mit dem SecureBootCertChecker das Ergebnis, dass die MS2023-Cert da sind, aber anscheinend noch nicht ins Bios übernommen wurden. Auch Windows selbst mault in der Gerätesicherheit, dass man noch eine ältere Startvertrauenskonfiguration verwendet. Ist das eine falsche Fehlermeldung oder muss ich noch etwas im Bios fummeln?
——————————————————————
Warn-/Fehlerereignisse gefunden: 1801
✖ Event 1801: Zertifikate verfügbar, aber noch nicht in die Firmware übernommen. Dieser Befund verhindert eine grüne Gesamtbewertung, solange kein neueres Event 1808 gefunden wird.
⚠ Event 1801: Aktualisierte Zertifikate für den sicheren Start sind auf diesem Gerät verfügbar, wurden aber noch nicht auf die Firmware angewendet.
—————————————————————–
Damit die Schlüssel in die Firmware übernommen werden, braucht es mindestens einen Neustart. Falls das nichts ändert, ist ein BIOS-Update notwendig, um die neuen Schlüssel zu übernehmen. Du kannst auch in den BIOS-Einstellungen unter „Secure Boot“ die Option „Factory Keys“ (Werkseinstellungen) laden oder „Secure Boot Keys löschen“ wählen. Dann sollten beim nächsten Neustart die neuen Keys von Windows übernommen werden.
Das Asus-Board ist 10 Jahre alt, da gibt es leider keine Bios-Updates mehr. Ich werde das mit dem Löschen der Schlüssel probieren.
Ich habe noch eine Frage: Wenn ich die „default keys“ lade, kommen wieder die ganz alten Keys des Herstellers. Es gibt die Möglichkeit, Keys zu löschen, allerdings ist das aufgeteilt in PK, DB, DBX. Letztere sind wohl Datenbanken, die relativ viele Schlüssel enthalten. Muss ich alle Keys löschen oder reicht es, eine oder beide der Datenbanken zu löschen?
PK (Platform Key): Der „Master Key“ — kontrolliert, wer KEK ändern darf. Den löscht man nur, wenn man Secure Boot komplett neu aufsetzen will (versetzt Secure Boot in den „Setup Mode“). Das willst du aber nicht.
KEK (Key Exchange Key): Autorisiert Änderungen an DB/DBX. So lassen, sonst gibt’s Schmerzen.
DB (Allowed Signature Database): Enthält die vertrauenswürdigen Signaturen. Löschen = nichts bootet mehr, bis neu befüllt. Da ebenfalls die Finger weglassen.
DBX (Forbidden Signature Database): Die Sperrliste. Das ist die, die du löschen solltest.
Nach dem Boot sollte Windows die DBX automatisch neu provisionieren. Falls nicht, kannst du das Update manuell anstossen — in einer Admin-PowerShell:
Start-ScheduledTask -TaskPath „\Microsoft\Windows\PI\“ -TaskName „Secure-Boot-Update“
Danach Reboot und in PowerShell prüfen ob es geklappt hat:
Get-SecureBootUEFI -Name dbx
Der Timestamp sollte dann aktuell sein.
Falls die Firmware das Update danach immer noch nicht übernimmt, liegt es an der UEFI-Implementierung des Z170-A selbst — das Board ist, wie du sagst, von 2015 und manche älteren AMI-UEFI-Versionen haben eine zu kleine NVRAM-Partition für die gewachsene DBX-Liste. In dem Fall bleibt als Workaround der manuelle Import: Windows legt die .bin-Dateien unter C:\Windows\System32\SecureBootUpdates\ ab, die kannst du im BIOS unter Key Management direkt in die DBX importieren.
Für DBX Update vorher noch in die Registry schreiben lassen:
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x2 /fWenn dort 0x0 oder 0x4000 eingetragen ist, macht die Aufgabe nichts, da sie davon ausgeht, das alles durch ist und es gerade nichts zu tun gibt.
Und „Get-SecureBootUEFI -Name dbx“ gibt keinen Timestamp aus, sondern nur die gespeicherten Zertifikate. Mit dem Schalter „-Decode“ ist dann die Anzeige im Klartext. Wie aktuell die Datenbank ist, kann man nur indirekt testen, in dem man den Inhalt der aktuellen DBXUpdate.bin mit dem Inhalt der Variable DBX vergleicht.