Mit KB5087420 hat Microsoft ein neues kumulatives Sicherheitsupdate für Windows 11 Version 23H2 veröffentlicht. Das Update hebt Windows 11 23H2 auf die Betriebssystembuild 22631.7079 und gehört zum Patchday im Mai 2026. Für Dich ist dieses Update vor allem dann wichtig, wenn Du noch Windows 11 23H2 verwendest und Dein System weiterhin zuverlässig, sicher und aktuell halten möchtest.

KB5087420 ist kein kleines Funktionsupdate, sondern ein klassisches kumulatives Windows Update. Das bedeutet: Es enthält aktuelle Sicherheitskorrekturen, Qualitätsverbesserungen und bereits zuvor bereitgestellte Verbesserungen aus dem vorherigen optionalen Vorschauupdate. Wenn Du Dich generell mit Windows Updates beschäftigst, findest Du auf Windows FAQ auch weitere hilfreiche Informationen rund um Windows 11 Update und typische Update Probleme.

Für welche Windows Version ist KB5087420 gedacht?

KB5087420 gilt für Windows 11 Version 23H2. Nach der Installation zeigt Windows die Betriebssystembuild 22631.7079 an. Das Update ist somit nicht für Windows 11 24H2, Windows 11 25H2 oder neuere Entwicklungszweige gedacht. Diese Versionen erhalten eigene kumulative Updates.

Wenn Du unsicher bist, welche Windows Version auf Deinem PC installiert ist, kannst Du das sehr schnell prüfen.

Windows Version und Buildnummer prüfen

  1. Drücke die Tastenkombination Windows + R.
  2. Gib winver ein.
  3. Bestätige mit Enter.
  4. Prüfe im angezeigten Fenster die Windows Version und die Betriebssystembuild.

Steht dort Windows 11 Version 23H2, ist KB5087420 grundsätzlich für Dein System relevant. Nach erfolgreicher Installation sollte die Buildnummer 22631.7079 angezeigt werden.

Was ist KB5087420 genau?

KB5087420 ist ein kumulatives Sicherheitsupdate für Windows 11 23H2. Kumulativ bedeutet, dass nicht nur einzelne neue Korrekturen enthalten sind. Das Paket enthält auch frühere Verbesserungen, sofern sie für Dein System noch nicht installiert wurden. Dadurch muss Windows nicht jedes ältere Update einzeln nachinstallieren.

Das Update konzentriert sich auf Sicherheitskorrekturen, Stabilität und Qualitätsverbesserungen im Betriebssystem. Außerdem enthält es Änderungen, die bereits mit dem vorherigen optionalen Update vorbereitet wurden. Für private Anwender wirkt sich das Update meist unspektakulär aus. Für Unternehmen, Administratoren und verwaltete Geräte sind einige Details aber besonders wichtig.

Die wichtigsten Änderungen in KB5087420

Sicherheitskorrekturen für Windows 11

Der wichtigste Punkt bei KB5087420 sind die Sicherheitskorrekturen. Sicherheitsupdates schließen bekannte Schwachstellen in Windows und reduzieren das Risiko, dass Angreifer Sicherheitslücken ausnutzen können. Deshalb solltest Du solche Updates nicht dauerhaft aufschieben.

Gerade auf produktiven Geräten, in Unternehmensumgebungen und auf Notebooks mit sensiblen Daten ist ein aktueller Patchstand besonders wichtig. Weitere Tipps zur Absicherung von Windows findest Du auch im Beitrag Windows Sicherheit.

Verbesserungen rund um Secure Boot

Ein auffälliger Bestandteil von KB5087420 betrifft Secure Boot. Windows bereitet Geräte besser auf aktualisierte Secure Boot Zertifikate vor. Auf geeigneten Systemen kann nach der Installation ein neuer Ordner C:\Windows\SecureBoot vorhanden sein.

Dieser Ordner ist vor allem für Unternehmen und IT Administratoren interessant. Er kann Beispielskripte enthalten, mit denen sich der Status rund um Secure Boot Zertifikate auswerten und in verwalteten Umgebungen automatisiert prüfen lässt. Für normale private Anwender ist dieser Ordner in der Regel kein Grund zur Sorge.

Aktualisierte Mobilfunkprofile

KB5087420 aktualisiert auch bestimmte Profile für Mobilfunkanbieter. Das ist vor allem für Geräte mit LTE oder 5G Modul interessant. Solche Änderungen können helfen, Verbindungsprofile aktuell zu halten und die Zusammenarbeit mit Mobilfunknetzen zu verbessern.

Anpassungen bei Sommerzeitinformationen

Das Update enthält außerdem aktualisierte Informationen zur Sommerzeit für bestimmte Regionen. Solche Änderungen klingen zunächst unspektakulär, sind aber wichtig für Kalender, Zeitstempel, Protokolle, geplante Aufgaben und Unternehmensanwendungen.

Enterprise State Roaming und Windows Sicherung

Für Unternehmen ist auch die Änderung im Bereich Enterprise State Roaming relevant. Die Verwaltung kann nun besser über Richtlinien für Windows Sicherung erfolgen. Dadurch erhalten Administratoren mehr Kontrolle über die Einrichtung und Verwaltung entsprechender Synchronisierungsfunktionen.

Microsoft Defender SmartScreen

KB5087420 verbessert auch die Zusammenarbeit mit Microsoft Defender SmartScreen. Dabei geht es um die Bewertung nicht signierter Dateien. SmartScreen kann dadurch bessere Reputationsprüfungen durchführen und die Entscheidung unterstützen, ob eine Datei möglicherweise riskant ist.

Das ist besonders wichtig, wenn Anwender regelmäßig Programme aus dem Internet herunterladen. Weitere Hinweise zu Schutzfunktionen findest Du in unserem Beitrag Microsoft Defender.

Remotedesktop Problem mit mehreren Monitoren behoben

Ein praktischer Fehler betrifft Remotedesktopverbindungen. In bestimmten Umgebungen mit mehreren Monitoren konnte ein Sicherheitswarnungsdialog falsch dargestellt werden, wenn die Monitore unterschiedliche Skalierungen verwendeten. KB5087420 behebt dieses Problem.

Das ist vor allem für Administratoren, Support Mitarbeiter und Anwender wichtig, die regelmäßig per RDP auf Server, Clients oder virtuelle Maschinen zugreifen.

Bekanntes Problem: BitLocker Wiederherstellungsschlüssel nach dem Update

Ein besonders wichtiger Hinweis betrifft BitLocker. Auf bestimmten verwalteten Geräten kann nach der Installation von KB5087420 beim ersten Neustart der BitLocker Wiederherstellungsschlüssel abgefragt werden.

Das betrifft nach aktuellem Stand nicht jeden PC. Besonders relevant ist das Szenario für Geräte mit einer speziellen BitLocker Gruppenrichtlinienkonfiguration, bei der PCR7 explizit im Validierungsprofil enthalten ist. Außerdem muss das Gerät bestimmte Voraussetzungen rund um Secure Boot und den Boot Manager erfüllen.

Für private Geräte ist dieses Problem eher unwahrscheinlich. In Unternehmensumgebungen solltest Du es aber ernst nehmen. Wenn Du viele Windows 11 Geräte verwaltest, prüfe vor der breiten Verteilung von KB5087420 die BitLocker Richtlinien und den PCR7 Status.

Falls Du Dich intensiver mit dem Thema beschäftigen möchtest, findest Du auf Windows FAQ eine passende Anleitung zum BitLocker Wiederherstellungsschlüssel.

Was Du vor der Installation bei BitLocker prüfen solltest

  1. Prüfe, ob BitLocker auf dem Systemlaufwerk aktiv ist.
  2. Öffne msinfo32 und kontrolliere den Status der sicheren PCR7 Bindung.
  3. Prüfe in verwalteten Umgebungen die BitLocker Gruppenrichtlinien.
  4. Stelle sicher, dass der BitLocker Wiederherstellungsschlüssel dokumentiert und erreichbar ist.
  5. Teste das Update zuerst auf einzelnen Geräten, bevor Du es breit ausrollst.

BitLocker Schutz vorübergehend anhalten

Wenn Du ein betroffenes Gerät absichern möchtest, kannst Du den BitLocker Schutz vor der Installation vorübergehend anhalten. Das sollte nur bewusst und kontrolliert erfolgen.

manage-bde -protectors -disable C:

Nach der Installation und dem Neustart solltest Du den Schutz wieder aktivieren.

manage-bde -protectors -enable C:

Diese Befehle solltest Du nur verwenden, wenn Du weißt, was Du tust und wenn Du Zugriff auf den Wiederherstellungsschlüssel hast.

KB5087420 installieren: Schritt für Schritt Anleitung

Die Installation erfolgt normalerweise automatisch über Windows Update. Du kannst das Update aber auch manuell anstoßen.

Installation über Windows Update

  1. Öffne die Einstellungen von Windows 11.
  2. Wechsle zu Windows Update.
  3. Klicke auf Nach Updates suchen.
  4. Warte, bis KB5087420 gefunden und heruntergeladen wurde.
  5. Starte den PC neu, wenn Windows dazu auffordert.
  6. Prüfe danach mit winver, ob die Build 22631.7079 installiert wurde.

Wenn Windows Update nicht korrekt arbeitet, können beschädigte Update Komponenten oder ein voller Update Cache die Ursache sein. Eine passende Anleitung findest Du unter Windows Update Cache leeren.

Installation in Unternehmen

In Unternehmen kann KB5087420 auch über Windows Update for Business, WSUS oder andere Patch Management Lösungen verteilt werden. Wichtig ist dabei, dass das Produkt Windows 11 und die Klassifizierung Sicherheitsupdates korrekt berücksichtigt werden.

Bei verwalteten Clients empfiehlt sich ein gestaffelter Rollout. Installiere das Update zuerst auf Testgeräten, prüfe BitLocker, Remotedesktop, VPN, Drucker, Fachanwendungen und Anmeldeprozesse. Erst danach sollte das Update auf größere Gerätegruppen verteilt werden.

KB5087420 erfolgreich installiert? So prüfst Du den Stand

Nach der Installation solltest Du kontrollieren, ob das Update wirklich erfolgreich installiert wurde. Dafür gibt es mehrere Möglichkeiten.

Prüfung über winver

  1. Drücke Windows + R.
  2. Gib winver ein.
  3. Bestätige mit Enter.
  4. Prüfe, ob Windows 11 Version 23H2 mit Build 22631.7079 angezeigt wird.

Prüfung über den Updateverlauf

  1. Öffne die Einstellungen.
  2. Gehe zu Windows Update.
  3. Öffne den Windows Updateverlauf.
  4. Suche nach KB5087420.
  5. Prüfe, ob das Update als erfolgreich installiert angezeigt wird.

Prüfung per PowerShell

Du kannst die Installation auch per PowerShell prüfen.

Get-HotFix -Id KB5087420

Wenn das Update gefunden wird, ist es auf dem System installiert. Falls keine Ausgabe erscheint, wurde KB5087420 entweder nicht installiert oder der Eintrag ist auf diesem Weg nicht auslesbar.

Typische Probleme bei KB5087420

KB5087420 wird nicht angeboten

Wenn KB5087420 nicht angezeigt wird, kann das mehrere Gründe haben. Häufig ist das System nicht auf Windows 11 23H2, sondern bereits auf einer anderen Version. In diesem Fall ist ein anderes kumulatives Update zuständig.

Auch Update Richtlinien, WSUS Freigaben, pausierte Updates oder fehlende Voraussetzungen können verhindern, dass das Update sofort erscheint.

Installation hängt oder bricht ab

Wenn die Installation hängen bleibt oder mit einem Fehlercode abbricht, solltest Du zuerst einen Neustart durchführen und die Installation erneut versuchen. Hilft das nicht, können die Windows Update Komponenten zurückgesetzt werden.

Weitere Hilfe findest Du in unserem Beitrag Windows Update Fehler beheben.

BitLocker fragt nach dem Wiederherstellungsschlüssel

Wenn nach dem Neustart der BitLocker Wiederherstellungsschlüssel abgefragt wird, solltest Du nicht versuchen, die Meldung durch mehrfaches Neustarten zu umgehen. Verwende den korrekten Wiederherstellungsschlüssel. In vielen betroffenen Szenarien tritt die Abfrage nur einmal nach der Installation auf.

In Unternehmen sollte anschließend geprüft werden, ob die BitLocker Gruppenrichtlinien angepasst werden müssen.

Remotedesktop verhält sich anders

KB5087420 behebt ein Darstellungsproblem bei Remotedesktop Sicherheitsdialogen. Wenn Du nach dem Update eine andere Darstellung siehst, muss das nicht automatisch ein Fehler sein. Prüfe aber, ob RDP Verbindungen, Zertifikatswarnungen und Multi Monitor Setups weiterhin korrekt funktionieren.

Solltest Du KB5087420 installieren?

Ja, wenn Du Windows 11 Version 23H2 nutzt, solltest Du KB5087420 grundsätzlich installieren. Es handelt sich um ein Sicherheitsupdate. Solche Updates sollten nur dann zurückgestellt werden, wenn es dafür einen konkreten technischen Grund gibt.

Für private Anwender ist die Installation über Windows Update der richtige Weg. Unternehmen sollten das Update zuerst testen und anschließend kontrolliert verteilen. Besonders wichtig ist die Prüfung von BitLocker und Secure Boot Konfigurationen.

KB5087420 deinstallieren: Nur im Ausnahmefall sinnvoll

Die Deinstallation eines Sicherheitsupdates sollte immer nur eine Notlösung sein. Wenn nach der Installation ein schwerwiegendes Problem auftritt, solltest Du zuerst prüfen, ob es eine einfachere Lösung gibt. Dazu gehören Neustart, Treiberprüfung, Update Cache Bereinigung, Gruppenrichtlinienkontrolle und eine Prüfung der Windows Ereignisanzeige.

Da moderne kumulative Windows Updates häufig ein Servicing Stack Update enthalten, lässt sich das Update nicht immer wie ein älteres Einzelupdate entfernen. In bestimmten Fällen ist eine Entfernung nur über DISM und den konkreten Paketnamen möglich.

Den Paketnamen kannst Du mit folgendem Befehl anzeigen lassen:

DISM /online /get-packages

Eine Entfernung sollte nur erfolgen, wenn Du die Auswirkungen kennst und vorher geprüft hast, ob es Alternativen gibt.

Wichtige Tipps für Administratoren

  • Teste KB5087420 zuerst auf einer kleinen Gruppe von Windows 11 23H2 Geräten.
  • Prüfe vorab den BitLocker Wiederherstellungsschlüssel auf verwalteten Geräten.
  • Kontrolliere Gruppenrichtlinien rund um BitLocker und PCR7.
  • Prüfe nach der Installation die Buildnummer 22631.7079.
  • Beobachte Remotedesktop Szenarien mit mehreren Monitoren.
  • Verteile das Update gestaffelt, wenn viele Clients betroffen sind.
  • Dokumentiere auffällige Fehlercodes direkt bei der Installation.
FAQ zu KB5087420

FAQ zu KB5087420

Was ist KB5087420?

KB5087420 ist ein kumulatives Sicherheitsupdate für Windows 11 Version 23H2. Es bringt Sicherheitskorrekturen, Qualitätsverbesserungen und Änderungen aus dem vorherigen optionalen Update mit.

Welche Buildnummer hat Windows 11 nach KB5087420?

Nach erfolgreicher Installation von KB5087420 zeigt Windows 11 Version 23H2 die Betriebssystembuild 22631.7079 an.

Ist KB5087420 für Windows 11 24H2 oder 25H2 gedacht?

Nein. KB5087420 ist für Windows 11 Version 23H2 vorgesehen. Windows 11 24H2 und Windows 11 25H2 erhalten eigene kumulative Updates.

Warum fragt BitLocker nach KB5087420 nach dem Wiederherstellungsschlüssel?

Wenn Du Windows 11 23H2 nutzt, solltest Du KB5087420 installieren. Es handelt sich um ein Sicherheitsupdate. Solche Updates sind wichtig, um bekannte Sicherheitslücken zu schließen und Windows stabil zu halten.

Was kann ich tun, wenn KB5087420 nicht installiert wird?

Starte den PC neu und suche erneut nach Updates. Prüfe danach, ob genug Speicherplatz vorhanden ist und ob Windows Update korrekt arbeitet. Wenn das Problem bestehen bleibt, kann das Zurücksetzen der Windows Update Komponenten helfen.

Fazit zu KB5087420

KB5087420 ist ein wichtiges Sicherheitsupdate für Windows 11 Version 23H2. Es bringt Windows auf Build 22631.7079 und enthält neben Sicherheitskorrekturen auch praktische Qualitätsverbesserungen. Besonders relevant sind die Änderungen rund um Secure Boot, SmartScreen, Remotedesktop und BitLocker.

Für private Anwender ist die Installation über Windows Update in der Regel unkompliziert. Administratoren sollten vor allem BitLocker Richtlinien und Secure Boot Abhängigkeiten prüfen, bevor das Update breit verteilt wird. Insgesamt ist KB5087420 ein Update, das Du bei Windows 11 23H2 nicht dauerhaft aufschieben solltest.