Windows Server 2016: Sicherheitsupdate blockiert PowerShell-Zertifikate

Ein aktuelles Sicherheitsupdate für Windows Server 2016 sorgt für massive Probleme: PowerShell-Skripte können nach der Installation nicht mehr auf private Schlüssel von Zertifikaten zugreifen. Betroffen sind Systeme mit dem April-Update KB5082198 (Build 14393.9060).

Windows-Systeme können nach Updates immer wieder unerwartete Fehler zeigen, die den Arbeitsalltag massiv stören. In diesem kostenlosen PDF-Report erfahren Sie, wie Sie die häufigsten Windows-Probleme mit einfachen Schritt-für-Schritt-Anleitungen schnell selbst beheben. Die 5 häufigsten Windows-Probleme erfolgreich gelöst

Zertifikate sichtbar, aber unbrauchbar

Das Problem tritt unmittelbar nach dem Einspielen des kumulativen Updates auf. Zwar bleiben die Zertifikate im LocalMachine-My-Store sichtbar, doch PowerShell-Skripte verlieren die Fähigkeit, mit den zugehörigen privaten Schlüsseln zu interagieren. Automatisierte Aufgaben und Dienste, die auf zertifikatsbasierte Authentifizierung oder Verschlüsselung setzen, laufen ins Leere.

Die Störung betrifft flächendeckend Windows-Server-2016-Installationen mit dem spezifischen Build 14393.9060. Neuere Server-Versionen sind in diesem Kontext offenbar nicht betroffen, auch wenn andere Updates im selben Zeitraum unterschiedliche Stabilitätsprobleme verursacht haben.

Sicherheitsmaßnahmen als Ursache

Branchenberichten zufolge liegt die Ursache in Änderungen an der Kryptografie-Verarbeitung des Betriebssystems. Diese Modifikationen stehen im Zusammenhang mit Sicherheitshärtungen zu CVE-2024-30098 und der Implementierung von KB5073121.

Das Update hat offenbar die Interaktion zwischen der veralteten CryptoAPI (CAPI) und neueren Kryptografie-Standards verändert. Die Art und Weise, wie PowerShell-Skripte private Schlüssel anfordern, ist nicht mehr mit der aktualisierten Provider-Logik kompatibel. Die Folge: Zugriffsverweigerungen oder fehlgeschlagene Handshakes – selbst wenn das Zertifikat in der Systemverwaltungskonsole gültig erscheint.

Workaround und Migration als Lösung

Um die Funktionalität wiederherzustellen, greifen Administratoren derzeit zu einem manuellen Workaround: Sie exportieren und importieren die betroffenen Zertifikate neu. Dieser Prozess erneuert die Verbindung zwischen Zertifikat und privatem Schlüssel unter der neuen Provider-Logik.

Was tun, wenn Windows plötzlich streikt und wichtige Funktionen nicht mehr wie gewohnt zur Verfügung stehen? IT-Experten verraten im kostenlosen PDF-Report ihre besten Tricks und liefern Anleitungen, die bei Systemfehlern wirklich funktionieren. Kostenlosen Windows-Ratgeber jetzt herunterladen

Für Organisationen, die nicht sofort neu importieren können, steht ein temporärer Registry-basierter Fix bereit. Durch den Eintrag DisableCapiOverrideForRSA unter dem Pfad Cryptography\Calais lässt sich das neue Verhalten umgehen. Microsoft betont jedoch: Diese Registry-Überbrückung ist nur eine vorübergehende Lösung. Die Option soll bis Februar 2027 vollständig entfernt werden.

Als dauerhafte Lösung empfehlen Experten die Migration betroffener Skripte und Dienste auf die CNG (Cryptography Next Generation) Key Storage API. Dieser Schritt entspricht der modernen Windows-Sicherheitsarchitektur und umgeht die Einschränkungen des veralteten CAPI-Providers.

Weitere Baustellen im April-Update-Zyklus

Der April-Update-Zyklus 2026 brachte auch für andere Betriebssystemversionen Herausforderungen. Nutzer von Windows Server 2019 und Windows 10 Enterprise LTSC 2019 meldeten Probleme mit Update KB5082123. Dazu gehörten Abstürze des Local Security Authority Subsystem Service (LSASS) und darauffolgende Reboot-Schleifen auf Domänencontrollern in Multi-Domain-Umgebungen.

Weitere dokumentierte Probleme aus diesem Update-Zeitraum:

• Fehlerhafte Darstellung von RDP-Sicherheitswarnungen auf Multi-Monitor-Setups mit unterschiedlichen Skalierungsstufen
• Ausfälle von Backup-Anwendungen aufgrund blockierter Treiber
• Boot-Fehler in virtualisierten Citrix-App-Layering-Umgebungen auf VMware

Microsoft hat Mitte Mai 2026 einen Fix für die RDP-Skalierungsprobleme veröffentlicht. Administratoren von Windows Server 2016 sollten jedoch vorrangig den Zertifikats-Neuimport durchführen, um die PowerShell-Skripte wieder zum Laufen zu bringen.

de | wissenschaft | 69464893 |