Windows 11 24H2/25H2: Sept. 2025 Preview-Update KB5065789 erfordert ggf. PIN

Veröffentlicht am 26. November 2025 von Günter Born

WindowsZum 29. September 2025 wurde das Preview-Update KB5065789 für Maschinen mit Windows 11 24H2 und 25H2 verteilt. Der in diesem und späteren Updates verteilte Code bewirkt, dass schrittweise eine Funktion auf den Clients ausgerollt wird, die dann eine PIN-Eingabe erzwingt. Darauf hat Microsoft in einem Supportbeitrag hingewiesen.

Admin-Passwörter schützen mit Windows LAPS. eBook jetzt herunterladen » (Anzeige)

Das Preview-Update KB5065789

Ich habe gerade mal im Blog-Beitrag Windows 10 22H2/Windows 11 23H2: Preview Updates (23./25./29 September 2025) nachgeschaut. Mit dem Preview-Update KB5065789 vom 29. September 2025 wurden laut Supportbeitrag in Windows 11 Version 24H2 sowie 25H2 nur einige wenige Fixes ausgerollt.

Ein Bug in Hyper-V wurde korrigiert und das Netzwerkproblem mit dem Server Message Block (SMB) v1 protocol on NetBIOS over TCP/IP NetBIOS ist behoben worden. Das Update behob ebenfalls ein Problem, das die Einrichtung der Windows Hello-PIN mit dem Fehler 0x80090010 auf Geräten betrifft, die nach der Installation von Windows-Updates, die am oder nach dem Update KB5060842 vom 05.06.2023 veröffentlicht wurden, und mit Microsoft Entra ID-Domänen verbunden sind.

Passkey-Support mit PIN war auch enthalten

Zum 25. November 2025 hat Microsoft dann im Change-Log des Support-Beitrags für das  Preview-Update KB5065789 vom 29. September 2025 die nachfolgende Ergänzung hinzugefügt (ist hier aufgefallen).

Änderung an Update KB5065789

Mit dem September 2025 Preview-Update KB5065789 (und damit auch mittels der nachfolgenden kumulativen Updates) wurde eine Passkeys-Unterstützung auf die Windows 11 Clients ausgerollt.  Dazu heißt es in obigem Text:

[Passkeys] Neu! Es wurde die Unterstützung für die Einrichtung einer PIN für Sicherheitsschlüssel hinzugefügt, falls diese noch nicht eingerichtet war, wenn sich vertrauende Parteien (Relying Parties, RP) während der Authentifizierung „Benutzerüberprüfung = Bevorzugt" einstellen.

Gleichzeitig wird auf den Support-Beitrag (ID 5073129) mit dem Titel Security keys might require a PIN after installing the September 2025 Windows preview update verlinkt.

Änderung bei der Authentifizierung eingeführt

Im oben verlinkten Supportbeitrag erfährt man, dass Nutzer nach Installation des September 2025 Preview-Update KB5065789 (OS Builds 26200.6725 und 26100.6725) oder späteren Updates "möglicherweise eine PIN erstellen müssen", um sich mit einem Sicherheitsschlüssel anzumelden. Das gilt auch, wenn bei der ersten Registrierung keine PIN erforderlich war oder keine PIN festgelegt wurde.

Verhalten nur bei FIDO2 ohne PIN

Dieses Verhalten tritt laut Microsoft auf, wenn eine vertrauende Partei (Relying Party, RP) oder ein Identitätsanbieter (Identity Provider, IDP) bei der Authentifizierung mit einem Fast IDentity Online 2 (FIDO2)-Sicherheitsschlüssel, für den keine PIN festgelegt ist, die Option "Benutzerüberprüfung = Bevorzugt" anfordert.

Beabsichtigtes Verhalten, stufenweiser Rollout

Dies ist laut Microsoft ein beabsichtigtes Verhalten, das implementiert wurde, um die Konformität mit den WebAuthn-Spezifikationen zu gewährleisten. Weiterhin wurde die "Unterstützung für dieses Verhalten" ab dem oben erwähnten Preview-Update vom 29. September 2025 (KB5065789) schrittweise auf Windows 11-Geräten eingeführt.

Die Einführung wurde auf Windows 11-Clients nach der Installation des Windows-Sicherheitsupdates vom 11. November 2025 – KB5068861 (OS-Builds 26200.7171 und 26100.7171) oder späteren Updates abgeschlossen. Im Klartext: Es sollten nun alle Windows 11 Clients mit Version 24H2 und 25H2 dieses Verhalten zeigen.

In diesem Szenario wird der PIN verlangt

Die seit dem 29. September 2025 ausgerollten Updates fügten Unterstützung für die Einrichtung einer PIN für Sicherheitsschlüssel hinzu, falls diese noch nicht eingerichtet war. Das gilt für das Szenario, dass vertrauende Parteien (Relying Parties, RP) „userVerification" in PublicKeyCredentialRequestOptions im WebAuthn-Authentifizierungsablauf auf "preferred" setzten.

Erklärung des Hintergrunds

Der Hintergrund ist laut Microsoft, dass die Benutzerüberprüfung (UV) bestätigt, dass der Benutzer anwesend und zur Verwendung eines Sicherheitsschlüssels berechtigt ist. Diese Bestätigung erfolgt in der Regel über eine PIN oder biometrische Daten. Die Benutzerüberprüfung kann auf "Nicht empfohlen", "Bevorzugt" oder "Erforderlich" eingestellt werden.

  • Benutzerüberprüfung = Bevorzugt: Bedeutet, dass die vertrauende Partei (RP) eine Benutzerüberprüfung wünscht, wenn der Authentifikator dazu in der Lage ist. Das bedeutet, dass die Plattform eine PIN einrichten sollte, wenn dies erforderlich ist.
  • Benutzerüberprüfung = Nicht empfohlen: Dies bedeutet, dass die vertrauende Partei (RP) keine Benutzerüberprüfung wünscht. Wenn keine PIN eingerichtet wurde, ist dies auch nicht erforderlich (es sei denn, dies wird durch die Konfiguration des Authentifikators vorgeschrieben).

Wenn die vertrauende Partei keine Benutzerüberprüfung wünscht und nicht möchte, dass Benutzer eine PIN für Sicherheitsschlüssel erstellen oder eingeben, sollte sie "userVerification" in PublicKeyCredentialRequestOptions auf "discouraged" setzen.

Die Unterstützung für die PIN-Einrichtung im Authentifizierungsablauf wurde  laut Microsoft hinzugefügt, um die Konsistenz zwischen Registrierungs- und Authentifizierungsabläufen zu gewährleisten.

Ähnliche Artikel:
Windows 11 24H2: Preview Update KB5065789 (29. September 2025)
Windows 10 22H2/Windows 11 23H2: Preview Updates (23./25./29 September 2025)
Microsoft Security Update Summary (11. November 2025)
Patchday: Windows 10/11 Updates (11. November 2025)
Patchday: Windows Server-Updates (11. November 2025)

Windows 11 24H2: RDP nach Preview-Update KB5065789 kaputt?
Windows 10 22H2: Out-of-Band-Update KB5071959 (11. Oktober 2025)
Windows 11 23H2-25H2: Preview Updates (28. Oktober 2025)

Windows 11 24H2/25H2: Localhost-Probleme nach Oktober 2025-Update KB5066835
Windows 11 24H2-25H2/Server 2025: Microsoft fixt Problem mit IIS/localhost
Windows 11 24H2/25H2: Task-Manager wird nach Okt. 2025-Update nicht beendet
Windows 11: Folder Auto-Discovery bremst Explorer – Optionen zum Abschalten
Windows 11 24H2-25H2: Zähe Startmenü-Suche; Preview KB5067036 bremst Suche auf File-Server
Windows 11 24H2-25H2: Nov. 2025-Update KB5068861 bremst Suche auf File-Server

Dieser Beitrag wurde unter Update, Windows abgelegt und mit , , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Eine Antwort zu Windows 11 24H2/25H2: Sept. 2025 Preview-Update KB5065789 erfordert ggf. PIN

  1. Flip sagt:
    26. November 2025 um 10:19 Uhr

    War dies nicht auch die Vorraussetzung, dass Recall funktionieren kann? Wenn somit der PIN eingerichtet wird, ist man dort wieder einen Schritt näher an der Gefahr.

    Antworten

Schreibe einen Kommentar zu Flip Antwort abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros. Kommentare abseits des Themas bitte unter Diskussion. Kommentare, die gegen die Regeln verstoßen, werden rigoros gelöscht.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.