Microsoft schließt mit neuer Richtlinie kritische Sicherheitslücke bei Windows 11

Microsofts neues Update beendet die gefährliche Phase ungepatchter Neugeräte. Mit der Januar-2026-Sicherheitsaktualisierung aktiviert der Konzern eine lang erwartete Richtlinie, die IT-Administratoren erstmals volle Kontrolle über Updates während der Erstinstallation gibt.

Ab sofort können Unternehmen die neue AllowOOBEUpdates-Richtlinie nutzen. Sie ermöglicht es, dass Windows-11-Geräte noch vor der ersten Anmeldung des Nutzers die aktuellen Sicherheitsupdates erhalten. Die Funktion ist standardmäßig deaktiviert – Administratoren müssen sie in Microsoft Intune oder Windows Autopilot explizit einschalten.

Bisher bestand ein kritisches Zeitfenster: Zwischen dem ersten Start eines neuen Geräts und dem ersten erfolgreichen Update-Scan konnten Tage vergegen. In dieser Phase waren Computer oft gegen bekannte Sicherheitslücken ungeschützt. „Das war ein gefährliches Provisioning-Loch“, bestätigt ein IT-Sicherheitsexperte.

Viele Unternehmen unterschätzen das Risiko ungepatchter Neugeräte: Tage ohne Updates öffnen Angreifern Tür und Tor. Der kostenlose Gratis‑Report „Windows 11 Komplettpaket“ erklärt Schritt‑für‑Schritt, wie Sie Windows‑11‑Geräte sicher einrichten, Daten und Programme übernehmen und Update‑Strategien in Intune und Autopilot richtig konfigurieren – ideal für IT‑Administratoren, die sichere Erstinstallationen gewährleisten möchten. Jetzt Gratis-Report: Windows 11 Komplettpaket herunterladen

KB5071430: Die unsichtbare Vorarbeit

Die technische Grundlage legte bereits das Update KB5071430 vom November 2025. Diese Aktualisierung modernisierte die Installationsroutine von Windows 11 und schuf die Infrastruktur für das neue Verfahren. Ohne dieses Fundament würde die jetzt freigeschaltete Richtlinie nicht funktionieren.

Microsoft verfolgte damit eine Zwei-Stufen-Strategie: Zuerst die stille Verteilung der technischen Basis, dann die Freigabe der Steuerungsoption. Ein kluger Schachzug, um Stabilitätsprobleme zu vermeiden.

Mehr Sicherheit, weniger Störungen

Die Auswirkungen auf deutsche Unternehmen sind erheblich. Neue Laptops und Arbeitsrechner erreichen nun vom ersten Moment an den gewünschten Sicherheitsstandard. Das beschleunigt die Compliance und reduziert Ärger für Nutzer.

Denn bisher mussten oft direkt nach der Anmeldung umfangreiche Updates installiert werden – mit lästigen Neustart-Aufforderungen. Jetzt läuft dieser Prozess im Hintergrund, während der Nutzer sein Gerät einrichtet.

Die neue Richtlinie respektiert dabei bestehende Update-Ringe. Sie fügt sich nahtlos in bereits definierte Verzögerungs- und Pauseregeln ein. Ein wichtiger Punkt für größere Organisationen mit komplexen Update-Strategien.

Praktische Umsetzung und Grenzen

IT-Teams sollten jetzt ihre Windows Autopilot-Profile überprüfen. Die neue Einstellung findet sich in den OOBE-Konfigurationsoptionen. Allerdings gibt es noch Einschränkungen: Das Gerät benötigt während der Einrichtung eine stabile Internetverbindung, und der Prozess kann die Installationszeit um 20 bis 30 Minuten verlängern.

Beobachter erwarten, dass Microsoft die Funktion weiter verfeinern wird. Denkbar sind granulare Steuerungen, die nur kritische Sicherheitsupdates erzwingen, während größere Feature-Updates auf später verschoben werden.

Für viele deutsche IT-Abteilungen ist diese Neuerung ein großer Schritt. Sie erfüllt eine Forderung, die Systemadministratoren seit Jahren stellen: vollständige Kontrolle über den Sicherheitszustand jedes Geräts – vom ersten Einschalten an.

PS: Sie möchten Updates bereits während der Erstinstallation sicherstellen? Der kostenlose Report liefert praxisnahe Checklisten und konkrete Konfigurationsschritte für Autopilot & Intune, damit neue Geräte ab dem ersten Einschalten geschützt sind. Jetzt kostenlosen Windows‑11‑Komplettpaket‑Report anfordern