KB5074109 Out-of-Band Update zur Behebung von Remote-Desktop-Problemen
Offizielle Patches für Windows 10, Windows 11 und Windows Server jetzt verfügbar
KB5074109 Out-of-Band Update: Nach dem fehlerhaften Windows Sicherheitsupdate vom Januar kam es in vielen Umgebungen zu massiven Problemen mit Remotedesktop-Anmeldungen. Betroffen waren unter anderem Windows 10, Windows 11, Windows Server sowie Azure Virtual Desktop und Windows 365.
Im ersten Blogbeitrag „Fehlerhaftes Windows Sicherheitsupdate KB5074109“ haben wir die Ursache, Auswirkungen und Zwischenlösungen wie den Known Issue Rollback (KIR) detailliert beschrieben. In diesem Follow-up zeigen wir nun, wie das KB5074109 Out-of-Band Update verteilt und installiert wird – insbesondere dann, wenn der KIR ersetzt oder bewusst nicht eingesetzt werden soll.
Was ist ein Out-of-Band Patch?
Ein Out-of-Band Update ist ein ausserordentliches Update, das nicht am regulären Patchday, sondern ausserhalb des Zyklus veröffentlicht wird. Microsoft setzt solche Patches gezielt ein, um kritische Fehler schnell zu beheben – wie in diesem Fall die Probleme mit Remotedesktop-Anmeldungen nach dem Update KB5074109.
OOB-Patches enthalten meist alle bisherigen Sicherheits- und Qualitätsfixes plus zusätzliche Korrekturen. Zum aktuellen Zeitpunkt ist uns nicht bekannt das die OOB Updates durch Microsoft verteilt werden.
Relevante OOB Updates von Microsoft
Windows 11
KB5077744 – Builds 26200.7627 / 26100.7627 (Windows 11 25H2 & 24H2): Microsoft Link
KB5077797 – Build 22631.6494 (Windows 11 23H2): Microsoft Link
→ Behebt zusätzlich Probleme mit Energiespar- und Ruhezustandsfunktion
Windows Server
KB5077793 – Build 26200.32234 (Windows Server 2025): Microsoft Link
KB5077792 – Build 25398.2096 (Windows Server 23H2): Microsoft Link
KB5077800 – Build 20348.4650 (Windows Server 2022): Microsoft Link
KB5077795 – Build 17763.8280 (Windows Server 2019): Microsoft Link
Windows 10
- KB5077796 – Builds 19045.6811 / 19044.6811 (Windows 10 22H2 & LTSC 2021): Microsoft Link
- KB5077795 – Build 17763.8280 (Windows 10 LTSC 2019): Microsoft Link
Warum ist dieser Patch jetzt wichtig?
Nach dem Update KB5074109 kam es – wie im ersten Beitrag beschrieben – zu fehlerhaften Anmeldeaufforderungen und gescheiterten Remote-Desktop-Verbindungen. Microsoft hat dies mit den OOB-Patches adressiert. Die Patches enthalten neben den bisherigen Fixes eine gezielte Korrektur für das Credential-Handling, das an diesen Problemen schuld war.
Anders als der initiale Known Issue Rollback (KIR) setzt dieser Patch direkt an der Ursache an und stellt Dauerhaftigkeit und Zukunftssicherheit sicher.
Szenarien: Wann sollte man den OOB Patch installieren?
1. Sie haben KIR aktiviert und wollen diesen ersetzen
Wenn Sie in Ihrem Unternehmen den Known Issue Rollback eingesetzt haben, um die Auswirkungen unmittelbar zu mildern, und nun auf die offizielle Microsoft-Lösung migrieren wollen:
Entfernen oder deaktivieren Sie den KIR nicht überstürzt
Installieren Sie zuerst den OOB Patch
Testen Sie, ob die Remotedesktop-Anmeldung stabil funktioniert
Danach kann KIR kontrolliert entfernt werden
2. Sie haben KIR nie ausgerollt
In diesem Fall empfehlen wir, den OOB Patch so schnell wie möglich über Windows Update oder Intune zu verteilen, um die Probleme zu beheben, ohne auf Workarounds zurückzugreifen.
3. Sie nutzen Azure Virtual Desktop oder Windows 365
Weil AVD und Windows 365 stark von funktionierenden Anmeldeprozessen abhängig sind, ist der OOB Patch obligatorisch, sobald er verfügbar ist.
Patchverteilung: 2,5 Wege
Aktuell werden die Out-of-Band Updates (OOB) weder für Privat- noch für Geschäftskunden automatisiert verteilt. Die Installation und Verteilung erfolgt derzeit ausschliesslich manuell oder über die nachfolgenden Varianten:
Variante A – WSUS (Enterprise)
Geeignet für klassische On-Premises-Umgebungen und Server mit zentralem Patchmanagement:
Entsprechendes Out-of-Band Update (KB) identifizieren
- KB vom Microsoft Update Catalog herunterladen und im WSUS importieren:
(Get-WSUSServer).ImportUpdateFromCatalogSite('updateId', 'c:/folder/file.msu') Update für die betroffenen Computergruppen genehmigen
- Installation gemäss Wartungsfenster durchführen
- Neustart der Systeme einplanen
Hinweis:
Falls der Known Issue Rollback (KIR) aktiv ist, kann dieser nach erfolgreicher Installation des OOB-Patches kontrolliert beibehalten oder entfernt werden. Eine Entfernung ist erst sinnvoll, wenn die Remotedesktop-Anmeldung stabil verifiziert wurde.
Variante B – Microsoft Intune (der halbe Weg)
In Microsoft Intune würde man solche Updates im Normalfall über Windows Updates → Quality Updates mittels einer Expedite Policy verteilen und dort gezielt das entsprechende Out-of-Band Update (OOB) auswählen.
Aktueller Stand (22.01):
Das betroffene OOB-Update ist derzeit noch nicht in der Auswahl für Expedite Policies verfügbar. Aus diesem Grund kann die Verteilung aktuell nicht über den regulären Intune-Mechanismus erfolgen.
Aktuelle Workarounds
Bis das Update in Intune sichtbar ist, bleiben folgende Optionen:
Verteilung über Skript oder Intune-Paket (Win32 App)
Manuelle Installation auf den betroffenen Systemen
Verteilung über WSUS, falls vorhanden
Derzeit befinden wir uns in Abklärung mit Microsoft, ab wann das Out-of-Band Update auch in Microsoft Intune für Expedite Policies verfügbar sein wird.
Variante C – Manuell über Microsoft Update Catalog
Geeignet für Server oder isolierte Systeme:
Patch aus dem Microsoft Update Catalog herunterladen (siehe: Relevante OOB Updates von Microsoft)
Manuell installieren
Neustart durchführen
Fazit
Die von Microsoft veröffentlichten Out-of-Band Updates bieten eine zuverlässige Lösung für die Remotedesktop- und Anmeldeprobleme nach KB5074109. Auch wenn der Fix aktuell noch nicht über alle Standardmechanismen wie Microsoft Intune Expedite Policies verfügbar ist, lässt sich das Update mit alternativen Verteilwegen sicher implementieren.
Durch ein strukturiertes Patchmanagement, den gezielten Einsatz von Intune, WSUS und manuellen Update-Strategien konnte Vistasys die Stabilität von Azure Virtual Desktop und Windows-Umgebungen für Kunden sicherstellen. Der Fall unterstreicht, wie entscheidend technisches Know-how und ein kontrollierter Update-Prozess für einen stabilen und sicheren IT-Betrieb sind.
Nachtrag: Weiteres Out-of-Band Update verfügbar – Problem final behoben
Per 24. Januar 2026 hat Microsoft ein weiteres Out-of-Band Update veröffentlicht, das die im Zusammenhang mit KB5074109 aufgetretenen Anmelde- und Remotedesktop-Probleme endgültig behebt.
Mit KB5078127 steht nun die finale und nachhaltige Lösung für die durch KB5074109 verursachten Probleme zur Verfügung. Da dieses Update offiziell über Windows Update verteilt wird, empfehlen wir, die Installation zeitnah einzuplanen und bestehende Workarounds (KIR) anschliessend sauber zurückzubauen.
