Windows Dateivorschau mit Okt. 2025-Update kaputt: Microsoft erklärt das Ganze – Teil 2

[English]Die Sicherheitsupdates vom 14. Oktober 2025 für Windows bewirken, dass die Vorschau von Dateien (z.B. PDF-Dokumente oder Office-Dokumente) im Explorer mitunter blockiert wird. In Teil 1 hatte ich das Problem beschrieben. Zum 22. Oktober 2025 hat Microsoft eine FAQ zu diesem Thema vorgelegt – das ist per Design und erfolgt aus Sicherheitsgründen.

Worum geht es beim Vorschau-Problem?

Die Sicherheitsupdates für die noch im Support befindlichen Windows-Versionen, die zum 14. Oktober 2025 veröffentlicht wurden, schrauben an den Sicherheitseinstellungen. Sobald das MotW-Flag für eine Datei gesetzt wurde, lässt sich keine Dokumentvorschau mehr anzeigen.

Es kommt der obige Hinweis, dass der Computer möglicherweise durch die Vorschau beschädigt werden könnte. Die Details hatte ich im Beitrag Windows: Dateivorschau im Explorer nach Oktober 2025-Update kaputt – Teil 1 aufgegriffen. Das Ganze betrifft verschiedene Windows-Versionen, die die Oktober 2025-Updates installiert haben.

Das Ganze wurde zum 22. Oktober 2025 in den Changelogs für die Updates – z.B. KB5066791 dokumentiert. Hier der Text: "[File Explorer] After installing this update, File Explorer automatically disables the preview feature for files downloaded from the internet. This change is designed to enhance security by preventing a vulnerability when users preview potentially unsafe files. For details, including steps to unblock files, see File Explorer automatically disables the preview feature for files downloaded from the internet."

Microsoft erklärt das Ganze in einer FAQ

Zum 22. Oktober 2025 hat Microsoft den Support-Beitrag File Explorer automatically disables the preview feature for files downloaded from the internet zu obigem Sachverhalt veröffentlicht, der einiges erklärt (ist an mir vorbei gegangen, als ich Teil 1 auf Vorrat für den Blog erstellt habe).

Verhalten ist by Design

Vorab lässt sich festhalten, dass dieses Verhalten der verweigerten Dateivorschau gezielt durch Microsoft herbeigeführt wurde. Redmond schreibt dazu:

• Ab den Windows-Sicherheitsupdates, die am oder nach dem 14. Oktober 2025 veröffentlicht werden, deaktiviert der Datei-Explorer automatisch die Vorschaufunktion für aus dem Internet heruntergeladene Dateien.
• Diese Änderung dient der Verbesserung der Sicherheit, indem sie eine Schwachstelle verhindert, durch die NTLM-Hashes bei der Vorschau potenziell unsicherer Dateien offengelegt werden könnten.

Mit anderen Worten: Die Deinstallation des Oktober 2025-Updates, um das Problem zu beheben, ist keine Lösung. Das Feature kommt mit den Preview-Updates und allen weiteren kumulativen Sicherheits-Updates wieder.

Der Hintergrund und die Auswirkungen

Hintergrund dieser Änderung ist, dass Microsoft eine Sicherheitslücke schließen will, durch die es zu einer Offenlegung von NTLM-Hashes kommen kann. Dies ist z.B. der Fall, wenn Benutzer eine Vorschau von Dateien anzeigen, die HTML-Tags (wie <link>, <src> usw.) enthalten, die auf externe Pfade verweisen. Angreifer könnten diese Vorschaufunktion ausnutzen, um sensible Anmeldedaten zu erfassen.

Daher wurde die Vorschaufunktion standardmäßig für alle Dateien deaktiviert, die mit "Mark of the Web" (MotW) gekennzeichnet sind, was darauf hinweist, dass sie aus der Sicherheitszone "Internet" stammen. Das Gleiche gilt für Dateien mit diesem Flag, die auf Netzwerkfreigaben liegen, die der Sicherheitszone "Internet" zugeordnet sind.

An dieser Stelle der Hinweis an Administratoren: Sofern möglich, könnte man NTLM in der Umgebung deaktivieren und auf Kerberos setzen. Dann sollte obiger Angriffsvektor entschärft sein.

Workarounds bzw. Problemlösungen

Ich hatte bereits in Teil 1 die groben Zusammenhänge skizziert und in diesem Kontext auch Workarounds (außerhalb der Deinstallation der Updates) skizziert.

Das MotW-Flag zurücksetzen

Wenn sich ein Benutzer sicher ist, dass ein Download aus dem Internet keine Gefahr darstellt, kann er das MotW-Attribut (Mark-of-the-Web) zurücksetzen.

1. Dazu wählt man die Dokumentdatei, deren Vorschau verweigert wird, mit der rechten Maustaste an und geht auf den Kontextmenübefehl Eigenschaften.
2. Im Eigenschaftenfenster lässt sich auf der Registerkarte Allgemein in der Gruppe Sicherheit das Kontrollkästchen Zulassen markieren.

Wird das Eigenschaftenfenster über die OK-Schaltfläche geschlossen, sollte das MoW-Attribut gelöscht und die Vorschau wieder möglich sein.

Netzwerkfreigaben in Intranet- oder Trusted-Zone aufnehmen

Bei Dokumentdateien, die auf Netzwerkfreigaben liegen könnte man in der Windows Systemsteuerung den Befehl Internetoptionen wählen, um das Fenster Eigenschaften von Internet aufzurufen.

Im Eigenschaftenfenster finden sich auf der Registerkarte Sicherheit die Sicherheitszonen. In den meisten Fällen sollte es ausreichen, die Netzwerkfreigaben unter Eigenschaften von Internet zur Zone Lokales Intranet oder zu den Vertrauenswürdige Sites hinzuzufügen. Die in obiger Abbildung gezeigte Schaltfläche Sites ermöglicht die Pfadnamen zur Freigabe einzutragen. Blog-Leser Werner hat hier bestätigt, dass das funktioniere.

Workaround per GPO

In Teil 1 haben gleich zwei Blog-Leser skizziert, wie Administratoren das Problem bei Netzwerkfreigaben für ihre Nutzer entschärfen können. Blog-Leser Werner hat hier die passende Gruppenrichtlinie angegeben. Den Gruppenrichtlinieneditor gpedit.msc aufrufen und zu folgendem Zweig navigieren.

Computerkonfiguration\Richtlinien\Administrative Vorlagen\Windows-Komponenten\Internet Explorer\Internetsystemsteuerung\Sicherheitsseite\

Dort die Richtlinie "Liste der Site zu Zonenzuweisungen" öffnen, und im Anschluss die freizugebenden Fileserver eintragen. Bei DFS den DFS-Stamm nicht vergessen, merkt Werner an. Dann die Gruppenrichtlinie aktualisieren lassen.

Weitere Anmerkungen

In diesem Kommentar merkt Jan an, dass die PDF-Vorschau bei ihm auch streikt, wenn PDF-Dokumente per E-Mail empfangen werden. Dort ist das MotW-Attribut auch gesetzt – freut Rechnungsempfänger in der Buchhaltung. Es gibt einen kruden Workaround: Das MotW-Attribut wird nur bei NTFS-Datenträgern unterstützt. Also hat er ein FAT32-Laufwerk (USB-Stick) eingerichtet, wo der Anwender die Dateien hin verschieben kann. Dort klappt die Vorschau dann.

Michel Py schreibt in diesem Kommentar, dass der mit obiger GPO keinen Erfolg gehabt habe. Er hat einen Registrierungseintrag angegeben, mit dem er das Problem, dass die Speicherorte der richtigen Internetzone zugeordnete werden, lösen konnte. Danach ist ein Neustart erforderlich.

Auch Andreas hat in diesem Kommentar eine GPO angegeben, bei dem er über den Anlagen-Manager die Vorschau wieder aktivieren konnte. Vielleicht helfen die oben skizzierten Ansätze weiter.

Artikelreihe:
Windows: Dateivorschau im Explorer nach Oktober 2025-Update kaputt – Teil 1
Windows Dateivorschau mit Okt. 2025-Update kaputt: Microsoft erklärt das Ganze – Teil 2

Ähnliche Artikel:
Microsoft Security Update Summary (14. Oktober 2025)
Patchday: Windows 10/11 Updates (14. Oktober 2025)
Patchday: Windows Server-Updates (14. Oktober 2025)
Patchday: Microsoft Office Updates (14. Oktober 2025)
Exchange Server Sicherheitsupdates Oktober 2025
Windows 10/11: USB-Tastatur/-Maus funktioniert in WinRE nicht richtig
Windows 11 24H2-25H2: Notfall Recovery Update KB5070762
Windows 11 24H2-25H2: Update KB5070773 fixt USB-Tastatur- und -Mausprobleme in WinRE
Windows 10 22H2/Windows 11 23H2: Preview Updates (23./25./29 September 2025)
September 2025-Update KB5065426 verursacht Probleme mit großen AD-Umgebungen
Windows 11 24H2/25H2: Localhost-Probleme nach Oktober 2025-Update KB5066835
Windows 11 24H2-25H2/Server 2025: Microsoft bestätigt Problem mit IIS/localhost
Windows-Bugs: Update und Herunterfahren; Sperrbildschirm; Startmenü und Suche
Windows 11 25H2: Umlaute-Bug bei Azure OneDrive-Nutzern
Windows 11 24H2-25/H2, Server 2025: SID-Duplikate verursachen NTLM-/Kerberos-Authentifizierungsfehler
Windows Server 2025: TiWorker verursacht durch KB3025096 Abstürze