Thought Leadership
Das optionale Update KB5089573 für Windows 11 beschleunigt die Desktop-Shell spürbar und leitet den Austausch auslaufender Secure-Boot-Zertifikate ein.
Der Softwarekonzern Microsoft hat mit der Bereitstellung des kumulativen Vorschau-Updates KB5089573 begonnen. Diese Aktualisierung richtet sich gezielt an Systeme, auf denen Windows 11 in den Versionen 24H2 und 25H2 ausgeführt wird. Nach der erfolgreichen Installation heben die neuen Pakete die Betriebssystem-Builds auf die Versionsnummern 26100.8524 beziehungsweise 26200.8524 an. Das Softwarepaket umfasst insgesamt 30 dokumentierte Änderungen, die primär die Leistung und die allgemeine Zuverlässigkeit der Plattform verbessern sollen.
Aus administrativer Sicht folgt dieses Release dem etablierten Zeitplan für optionale, nicht sicherheitsrelevante Vorschau-Updates, die Microsoft typischerweise gegen Ende eines jeden Monats herausgibt. Diese Veröffentlichungen bieten IT-Verantwortlichen in Unternehmen die Möglichkeit, funktionale Korrekturen und Systemänderungen vorab in Testumgebungen zu evaluieren, bevor die Modifikationen im darauffolgenden Monat als obligatorische Updates am regulären Patchday für die gesamte Belegschaft ausgerollt werden. Da es sich um ein optionales Update handelt, erfolgt die Installation auf verwalteten Clients standardmäßig nicht automatisch, es sei denn, die administrative Richtlinie zur sofortigen Bereitstellung neuer Updates ist explizit aktiviert.
Beschleunigung der Systemkomponenten und der Desktop-Shell
Ein funktionaler Schwerpunkt der Aktualisierung liegt auf der Optimierung der Kernkomponenten der Benutzeroberfläche. Microsoft gibt an, dass durch die Code-Änderungen die Startzeit von Anwendungen sowie die Reaktionsgeschwindigkeit der zentralen Shell-Elemente spürbar beschleunigt werden. Betroffen von diesen Performance-Upgrades sind insbesondere das Startmenü, die systemweite Suchfunktion sowie das Info-Center.
Darüber hinaus adressiert das Update die Stabilität des Datei-Explorers, bei dem es in früheren Versionen unter bestimmten Lastszenarien zu unerwarteten Verzögerungen kam. Auch beim Wechseln von visuellen Designs innerhalb der Systemeinstellungen sowie bei der Verarbeitung von Touch-Gesten auf berührungsempfindlichen Bildschirmen wurden Optimierungen integriert. Für mobile Arbeitsplätze bietet KB5089573 zudem eine verbesserte Effizienz beim Aufwachen aus dem modernen Standby-Modus, wodurch die Systembereitschaft nach einer Inaktivitätsphase schneller wiederhergestellt wird.
Modifikationen am Authentifizierungsverhalten von Windows Hello
Das Update führt tiefgreifende Änderungen an den Anmelderoutinen auf dem Sperrbildschirm und dem Anmeldebildschirm herbei. Wenn Anwender die biometrische Authentifizierung über Windows Hello mittels Gesichtserkennung oder Fingerabdruck eingerichtet haben, deklariert das Betriebssystem diese Methoden nun standardmäßig als primären Anmeldeweg für jeden Authentifizierungsvorgang.
Dies gilt auch dann, wenn der Nutzer bei der vorherischen Sitzung bewusst eine alternative Methode gewählt hatte. Um flexibel zu bleiben, implementiert Microsoft eine spezifische Logik für die PIN-Eingabe: Wenn ein Mitarbeiter stattdessen die persönliche Identifikationsnummer bevorzugt und diese dreimal hintereinander erfolgreich verwendet, merkt sich Windows diese Entscheidung und behält die PIN als primäre Methode bei, bis der Anwender manuell zu einem anderen Verfahren wechselt. Flankierend hierzu reduziert der Patch die Anzahl unvorhergesehener Blockaden während der Authentifizierung über die erweiterte Anmeldesicherheit von Windows Hello.
Energiemanagement für Peripheriegeräte und Korrekturen im Task-Manager
Im Bereich des Energiemanagements wurden Verbesserungen für eingebettete Sensoren und Peripheriegerätestapel integriert. Die Aktualisierung erhöht die Resilienz des Sensor-Hubs gegenüber Softwareanwendungen, die diese Hardwarekomponente ununterbrochen im aktiven Zustand halten und dadurch den Akku mobiler Endgeräte belasten. Im Human Interface Device-Stapel, kurz HID-Stapel, wird die Energiehygiene für fehlerhafte Eingabegeräte optimiert. Das System blockiert nun Anwendungen, die während des Standby-Modus unbefugte Datenübertragungen initiieren und so die Batterielaufzeit negativ beeinflussen.
Für virtualisierte Umgebungen enthält das Update eine Korrektur innerhalb des Task-Managers. Auf der Leistungsseite wurde die Anzeige der CPU-Geschwindigkeit für virtuelle Maschinen korrigiert, sodass nach dem Aufwachen aus dem Ruhezustand keine fehlerhaften, überhöhten Frequenzwerte mehr ausgegeben werden. Als neues Multimedia-Feature führt das Update das sogenannte Shared Audio ein, welches es zwei Personen ermöglicht, simultan denselben Audiostrom über ein einziges Windows-11-Gerät zu hören.
Phasenweises Rollout neuer Secure-Boot-Zertifikate
Ein sicherheitsstrategisch wichtiger Aspekt dieses Updates betrifft die Verteilung neuer Secure-Boot-Zertifikate. Die ursprünglichen Zertifikate aus dem Jahr 2011 laufen Ende Juni 2026 ab, weshalb Microsoft bereits seit November 2025 und Januar 2026 auf den notwendigen Austausch hinweist. Mit dem aktuellen Patch nutzt das Unternehmen präzise Zielgruppendaten für Geräte, um die Reichweite der Systeme zu erhöhen, die für den automatischen Empfang neuer Zertifikate qualifiziert sind.
Die Verteilung erfolgt streng kontrolliert und phasenweise, da die Zertifikate erst übertragen werden, nachdem ein System ausreichende Signale für erfolgreiche Updates geliefert hat. Dies soll das Risiko von Boot-Fehlern minimieren. IT-Abteilungen müssen diese Prozesse engmaschig überwachen, zumal Microsoft zeitgleich mit unvorhergesehenen Problemen bei anderen Plattformen kämpft. Erst kürzlich wurde ein Fehler bestätigt, bei dem das Sicherheitsupdate KB5087537 für Windows Server 2016 zu Fehlern bei der Domänenauflösung führte, wenn der Hostname exakt 15 Zeichen lang war.
