[English]Mit dem Preview-Update KB5062660 von Ende Juli 2025 für Windows 11 24H2 hat sich ein weiteres Problem eingeschlichen, wie Microsoft zum 12. August 2025 bestätigte. Ist das Update (oder eines der Folge-Updates) installiert, wird die Ereignisverwaltung mit CertificateServicesClient-Einträgen (ID 57) geflutet.
Anzeige
Preview-Update erzeugt CertificateServicesClient Events
Mit dem Preview-Update KB5062660 vom 22. Juli 2025 hat Microsoft nicht nur AI-Funktionen wie Recall eingeführt (siehe Windows 10/11: Preview Updates 22. Juli 2025). Zum 12. August 2025 hat Microsoft den Support-Beitrag Error events are logged for CertificateServicesClient in den Known Issues des Windows 11 24H2 Release Health-Dashbord veröffentlicht.
Im Beitrag heißt es, dass nach der Installation des Windows-Preview-Updates vom 22. Juli 2025 (KB5062660) und späteren Updates, einschließlich des Sicherheitsupdates vom August 2025, der Ereignis-Viewer von Windows 11 24H2 möglicherweise einen Fehler im Zusammenhang mit CertificateServicesClient (CertEnroll) anzeigt. Das ist zwar irgendwie doof, aber die gut Botschaft Microsofts lautet, dass der Eintrag zwar da ist, jedoch ignoriert werden kann.
Das Problem wird nur als Eintrag im Windows-Ereignisprotokoll mit der Fehler-ID 57 angezeigt. Das Ereignis enthält die Meldung
Der Anbieter "Microsoft Pluton Cryptographic Provider" wurde nicht geladen, da die Initialisierung fehlgeschlagen ist.
Dieses Ereignis wird zwar bei jedem Neustart des Geräts in der Ereignisanzeige protokolliert, stellt jedoch kein Problem mit einer aktiven Windows-Komponente dar, schreibt Microsoft. Dieses Ereignis steht im Zusammenhang mit einer Funktion, die derzeit aktiv entwickelt wird. Die Fehlermeldung habe keine Auswirkungen auf Windows-Prozesse und es sind keine Maßnahmen erforderlich, um diesen Fehler zu verhindern oder zu beheben, sagt Microsoft. Derzeit arbeitet man daran, diesen Fehler mit einem der nächsten Updates zu beheben.
Anzeige
Hintergrund: Microsoft Pluton wurde entwickelt und 2020 erstmals eingeführt, um die Funktionalität des Trusted Platform Module (TPM) bereitzustellen und eine Vertrauenskette von Chip-Ebene bis zum Betriebssystem zu etablieren. Microsoft Pluton unterstützt den TPM 2.0-Industriestandard, und wird seit 2024 in Windows 11 implementiert (siehe). In Pluton gespeicherte Anmeldeinformationen, Verschlüsselungsschlüssel und andere vertrauliche Informationen sollen nicht einfach aus Pluton extrahiert werden können. Pluton wird bereits in AMD- und Qualcomm-Chips ab Ryzen 6000 und Snapdragon X/8cx integriert und Intel zieht mit neuen Prozessoren nach (siehe). Offenbar ist diese Funktion, die in Copilot+PCs kommen soll, immer noch nicht fertig implementiert, wird aber bereits in Code-Fragmenten mit Windows 11 24H2-Updates ausgerollt.
Der Altfall mit der Firewall
Die obige Sprachregelung von der "unvollendeten Funktion" kam mir bekannt vor, und ich habe mal nachgeschaut. Im Blog-Beitrag Windows 11 24H2: Juni 2025 Preview-Update KB5060829 triggert Firewall-Events hatte ich berichtet, dass Administratoren nach Installation des betreffenden Preview-Updates plötzlich Einträge, getriggert von der Windows Firewall für erweiterte Sicherheit, in der Windows Ereignisanzeige finden. Der damalige Ratschlag Microsofts lautete, dass man diese Ereigniseinträge mit den Warnungen ignorieren könne. Die Einträge stammen von einer eingebauten Funktion, die noch nicht vollständig implementiert sei, hieß es von Microsoft.
Anzeige
Günter, im Titel steht fäschlicherweise Windows 10
Das in einem Preview-Update auch Preview-Funktionen, die "noch nicht ganz fertig sind" enthalten sind, ist zunächst mal nichts ungewöhnliches.
Gerade in einer Zeit, in der nicht nur sichere, sondern auch schnelle Verschlüsselung unabdingbar ist, mag es durchaus Sinn machen, solche Funktionen mit Hardware zu unterstützen, die quasi jeder aktuelle Prozessor mitbringt. Gegen über den seit Windows-2000-Zeiten von Microsoft ausgerollten "Software Key Providern", aus denen sich das Schlüsselmaterial allen Beteuerungen zum Trotz in Sekunden extrahieren läßt ein gewaltiger Vorteil.
Ob es da eine Cloud-Anbindung braucht ist sicherlich Geschmackssache, da aber zumindest die öffentlichen Teile der Schlüssel eben genau das (öffentlich) sind und über CRLs oder OCSP auch ausgelesen werden können, sehe ich da keinen Nachteil, sondern eher einen zusätzlichen Sicherheitsgewinn, der auch greift, wenn man den ganzen Server "herausträgt".
In letzter Zeit ist ja auch wichtig, daß man nicht nur selbst "ein gutes Gefühl" hat, sondern daß es auch beweisbar (auditierbar) sicher ist.
Wir haben seit vielen Jahren ein Hardware-Security-Module (Thales nShield) für unsere Windows-CA, mir graust aber wenn ich in anderen Firmen sehe, daß da noch nicht mal eine Chipkarten- oder USB-Token-Lösung zum Einsatz kommt, sondern die Zertifikate, auf denen sich ja z.B. auch VPNs abstützen kann rein in Software generiert werden.
Von daher ist auch der recht komplexe und in der Praxis störanfällige Ansatz der Telematik mit ihren Hardware-Connectoren und Chipkarten im Gesundheitswesen durchaus erst mal zu begrüßen – wenn nicht die beteiligten Firmen das Ganze als "Lizenz zum Gelddrucken" sehen würden.
Dieses Problem betrifft jetzt aber nicht mehr nur die Preview-Updates KB5060829 (Juni) und KB5062660 (Juli), sondern auch das normale Update KB5063878 von August.
Im Microsoft-Artikel steht das:
"and later updates including the August 2025 Windows security update"
Dieses "security update" ist natürlich auch im Rollup von August enthalten.
Die Ursache für die Fehlermeldungen ist der "Microsoft Pluton Cryptographic Provider", dessen Implementierung noch nicht fertig ist.
Zitat (aus einem Winfuture-Artikel):
"Microsoft Pluton ist ein Chip-zu-Cloud-Sicherheitsprozessor, der auf Zero-Trust-Prinzipien basiert und hardwarebasierte Vertrauenswurzel, sichere Identität, sichere Attestierung sowie kryptografische Dienste bietet. Der Sicherheitschip ist derzeit auf Geräten mit AMD Ryzen 6000, 7000, 8000, Ryzen AI und Qualcomm Snapdragon 8cx Gen 3 sowie Snapdragon X-Prozessoren verfügbar.
Die aktuellen Fehlermeldungen entstehen durch Microsofts Pläne, einen Schlüsselspeicher-Provider (KSP) für Pluton hinzuzufügen. Diese Funktion soll auch dann aktiviert sein, wenn Pluton nicht als konfiguriertes TPM eingesetzt wird. Da sich die Implementierung noch in der Entwicklungsphase befindet, führt der Initialisierungsversuch zu den Event-Viewer-Einträgen. "
winfuture. de/news,152923.html
Wenn sich etwas noch in der Entwicklungsphase befindet, dann rolle ich das nicht per Update aus!