Microsoft hat auf der Build 2026 mehrere Neuerungen vorgestellt, die Windows spürbar sicherer machen sollen. Ein Teil davon richtet sich an Entwickler, ein anderer Teil betrifft Firmen und Endanwender direkt. Im Mittelpunkt stehen moderne Kryptografie, strengere Vorgaben für Treiber und mehr Kontrolle bei Apps und Authentifizierung.
Post-Quanten-Kryptografie kommt tiefer in Windows
Ein großer Schritt betrifft die Post-Quanten-Kryptografie. Microsoft will diese Technik breiter in Windows verankern. Ziel ist ein besserer Schutz für Daten, wenn heutige Verschlüsselungsverfahren eines Tages nicht mehr ausreichen sollten.
Geplant sind unter anderem PQ-Hybrid-Key-Exchange im TLS-Stack von Windows und der Support für zusammengesetzte PQC-Algorithmen über die Windows-Kryptografie-APIs. Auch die Active Directory Certificate Services sollen PQ-Zertifikate ausstellen können. Erste Funktionen lassen sich bereits in Windows-Insider-Vorschauversionen testen.
Weniger NTLM, mehr Kerberos
Auch bei der Anmeldung zieht Microsoft die Zügel an. NTLM gilt seit Jahren als schwache Stelle in vielen Windows-Umgebungen. Die nächste Version von Windows Server soll NTLM nicht mehr unterstützen.
Bis dahin arbeitet Microsoft daran, den Einsatz von NTLM weiter zurückzudrängen. In Windows Insider Preview Server und Client lassen sich nun IAKerb und LocalKDC über Registry-Einträge steuern. Das senkt die Abhängigkeit von NTLM und öffnet mehr Wege für Kerberos-basierte Anmeldung.
Für Unternehmen ist das ein klarer Schritt in Richtung modernerer Authentifizierung. Alte Verfahren bleiben oft nur aus Gewohnheit im Einsatz, nicht aus technischer Stärke.
Windows lädt nur noch geprüfte Treiber
Ein weiterer Schwerpunkt liegt auf Treibern. Microsoft will nur noch Treiber laden, die einen strengeren Prüfweg durchlaufen haben. Standardmäßig akzeptiert Windows künftig nur noch Treiber, die im Windows Hardware Compatibility Program signiert wurden.
Treiber aus dem Cross-Signed-Root-Programm werden dann nicht mehr geladen. Dahinter steht ein klarer Grund: Windows soll nur Code aus vertrauenswürdigen Quellen annehmen. Das senkt das Risiko, dass manipulierte oder schwach geprüfte Treiber ins System gelangen.
Diese Änderung wird seit März in ersten Insider-Vorschauen getestet. Für IT-Abteilungen bedeutet das mehr Klarheit bei der Treiberpflege und weniger Angriffsfläche auf Systemebene.
Mehr Schutz vor unsicheren Apps
Microsoft verweist auch auf Smart App Control. Diese Funktion schützt Windows-Geräte vor Programmen, denen das System nicht traut. Für Privatnutzer und in der Business-Variante soll dieser Schutz weiter ausgebaut werden.
Geplant ist eine strengere reputationsbasierte Prüfung. Im Unternehmensumfeld kommen neue Schnittstellen für die Anbindung an eigene Prozesse und eine richtlinienbasierte Steuerung hinzu. So lassen sich Vorgaben im Alltag genauer durchsetzen.
Für Firmen zählt dabei vor allem eines: Nicht jede App gehört auf jedes Gerät. Mit klaren Regeln sinkt das Risiko durch schadhafte oder unerwünschte Software.
Was das für Unternehmen bedeutet
Die Neuerungen zeigen eine klare Richtung. Microsoft schiebt Windows Schritt für Schritt in eine sicherere Basis. Das betrifft Verschlüsselung, Anmeldung, Treiber und App-Kontrolle zugleich.
Für IT-Teams heißt das mehr Arbeit bei der Vorbereitung, aber auch mehr Schutz im laufenden Betrieb. Wer Windows-Umgebungen plant oder betreut, sollte die Insider-Änderungen früh prüfen. So lassen sich alte Abhängigkeiten rechtzeitig erkennen und Abläufe an die neuen Vorgaben anpassen.
Gerade bei NTLM und Treibern ist Zeit ein Thema. Wer hier erst reagiert, wenn ein Systemwechsel ansteht, gerät schnell unter Druck. Wer früh testet, bleibt handlungsfähig.
