Microsoft setzt in den April Updates für Windows einen klaren Schwerpunkt auf Secure Boot und Phishing Schutz. Für Windows 11 24H2 und 25H2 nennt KB5083769 den ab Juni 2026 beginnenden Ablauf wichtiger Secure Boot Zertifikate jetzt direkt im Updateverlauf. Microsoft empfiehlt, Geräte vorher zu aktualisieren, um Boot Probleme und spätere Sicherheitslücken zu vermeiden. Parallel bringt das Update neue Statushinweise in die Windows Security App, erweitert die automatische Verteilung neuer Zertifikate und behebt einen Fehler, der Geräte nach Secure Boot Änderungen in die BitLocker Recovery schicken konnte. Auch Windows 10 bekommt im April Paket denselben sicherheitsnahen Fokus. Dort stärkt Microsoft vor allem den Schutz vor manipulierten .rdp Dateien in Remote Desktop.
Secure Boot wird in Windows plötzlich zum sichtbaren Update Thema
Der neue Schwerpunkt ist nicht nur ein technischer Randpunkt für Administratoren. Microsoft hat die Windows Security App seit April 2026 so erweitert, dass der Status der Secure Boot Zertifikatsupdates direkt auf dem Gerät sichtbar wird. Unter Gerätesicherheit zeigt Windows nun farbige Hinweise mit grün, gelb oder rot an. Die App erklärt damit, ob ein Gerät vollständig aktualisiert ist, noch auf ältere Boot Zertifikate setzt oder ob Handlungsbedarf besteht. Microsoft schreibt dazu, dass die ursprünglichen Secure Boot Zertifikate von 2011 sich ihrem Ablauf in 2026 nähern und dass aktualisierte Zertifikate aus 2023 schrittweise über Windows Update verteilt werden. Für Home und viele regulär verwaltete Geräte soll das automatisch passieren. Auf kommerziell verwalteten Geräten bleiben die neuen Secure Boot Benachrichtigungen standardmäßig deaktiviert, um Warnmeldungen nicht ungeplant breit auszurollen.
Microsoft verbindet diese Hinweise direkt mit den April Updates. In KB5083769 für Windows 11 und in KB5082200 für Windows 10 heißt es, dass die Qualitätsupdates zusätzliche Daten für ein gezielteres Rollout neuer Secure Boot Zertifikate enthalten. Gleichzeitig beheben beide Updates einen Fehler, durch den ein Gerät nach Secure Boot Änderungen in die BitLocker Recovery fallen konnte. Ganz verschwunden ist das Thema damit nicht. Microsoft nennt für April auch ein neues bekanntes Problem, das eine kleine Zahl von IT verwalteten Geräten mit BitLocker betreffen kann, wenn dort eine nicht empfohlene Gruppenrichtlinie mit expliziter PCR7 Einbindung gesetzt ist. In diesem Fall kann nach dem Update einmalig die Eingabe des Wiederherstellungsschlüssels nötig werden. Microsoft betont zugleich, dass dieser Fall auf privaten Geräten eher untypisch ist.
Microsoft verschärft parallel den Schutz vor schädlichen RDP Dateien
Die zweite große Änderung betrifft Remote Desktop. Microsoft schreibt in den April Updates für Windows 11 und Windows 10, dass der Schutz vor Phishing Angriffen über .rdp Dateien verbessert wurde. Wenn ein Nutzer jetzt eine solche Datei öffnet, zeigt Remote Desktop vor der Verbindung alle angeforderten Verbindungseinstellungen an. Diese Einstellungen sind zunächst standardmäßig deaktiviert. Zusätzlich erscheint beim ersten Öffnen einer .rdp Datei auf einem Gerät eine einmalige Sicherheitswarnung. Die Änderung zielt auf ein altes Problemfeld. RDP Dateien können Verbindungsparameter mitbringen, die Nutzer oft nicht im Detail prüfen. Microsoft macht diese Parameter jetzt sichtbar, bevor überhaupt eine Verbindung aufgebaut wird.
Zusammen gelesen zeigen die April Updates eine klare Linie. Microsoft hebt den Schutz der Windows Startkette und den Schutz vor täuschend echten Fernzugriffsdateien gleichzeitig an. Für Windows 11 ist vor allem die neue Warnung vor dem Zertifikatsablauf ab Juni 2026 relevant. Für Windows 10 und Windows 11 ist der neue RDP Schutz praktisch sofort spürbar, weil Verbindungsoptionen vorab offengelegt und nicht mehr still übernommen werden. Wer seine Geräte aktuell hält, soll damit in zwei besonders sensiblen Bereichen besser abgesichert sein: beim sicheren Bootvorgang und beim Öffnen externer Remote Desktop Dateien.