Windows 11: Kritische SMBv3-Lücke CVE-2026-46156 erfordert sofort Update

von
Windows 11: Kritische SMBv3-Lücke CVE-2026-46156 erfordert sofort Update: einfach
Lesedauer: 12 Min – Beitrag erstellt: 31. Mai 2026, zuletzt aktualisiert: 31. Mai 2026

Eine Schwachstelle in der SMBv3-Komponente gehört zu den Risiken, die in Unternehmens- und Heimnetzen gleichermaßen ernst zu nehmen sind. Betroffen sind Verbindungen, über die Windows-Dateifreigaben, Druckerzugriffe und andere Netzwerkdienste laufen. Wer den Rechner mit älteren Updates betreibt oder Freigaben im lokalen Netz nutzt, sollte zügig reagieren.

In diesem Beitrag geht es nicht nur um die Einordnung der Gefahr, sondern auch um die praktische Absicherung. Dazu gehören die Prüfung des Patchstands, das Einspielen der passenden Aktualisierung, das Absichern von SMB-Freigaben und ein kurzer Kontrolllauf nach der Installation. So lässt sich das System in einem Zug härten, ohne unnötige Umwege.

Warum diese Schwachstelle Aufmerksamkeit verlangt

SMBv3 ist ein zentraler Bestandteil von Windows, sobald Dateien oder Drucker im Netzwerk freigegeben werden. Genau deshalb wirkt sich eine Lücke in diesem Bereich schnell auf viele Systeme aus. Angreifer können über das Netzwerk ansetzen, ohne dass dafür zwingend ein direkter Zugriff auf den betroffenen Rechner nötig ist.

Besonders relevant ist das in Umgebungen mit aktiven Freigaben, Domänenanschlüssen, NAS-Systemen oder Remote-Arbeitsplätzen. Je mehr Geräte im selben Netz kommunizieren, desto wichtiger ist eine saubere Update-Basis. Ein einzelner ungepatchter Rechner reicht aus, um ein gesamtes Segment zu gefährden.

So prüfst du zuerst den Status deines Systems

Bevor du etwas änderst, solltest du die vorhandene Update-Situation erfassen. Das geht in wenigen Schritten direkt in Windows 11.

  1. Öffne die Einstellungen mit Windows-Taste + I.
  2. Rufe Windows Update auf.
  3. Prüfe, ob verfügbare Qualitätsupdates angezeigt werden.
  4. Starte die Suche nach Updates, falls keine Einträge sichtbar sind.
  5. Notiere den Installationszeitpunkt des letzten kumulativen Updates.

Zusätzlich hilft ein Blick auf die installierten Versionen. Unter Einstellungen > System > Info findest du Build-Nummer und Edition. Damit lässt sich besser beurteilen, ob der Rechner bereits auf einem aktuellen Patchstand läuft.

Das Update sauber einspielen

Für die Schließung einer SMBv3-Schwachstelle ist in der Regel das reguläre Sicherheitsupdate von Microsoft entscheidend. Es sollte zuerst über Windows Update installiert werden. In vielen Fällen genügt das bereits, weil die Korrektur Bestandteil des monatlichen kumulativen Pakets ist.

Gehe dabei am besten so vor:

  1. Starte die Suche nach Aktualisierungen.
  2. Installiere alle vorgeschlagenen Sicherheits- und Qualitätsupdates.
  3. Lege bei Bedarf einen Neustart direkt im Anschluss ein.
  4. Prüfe nach dem Neustart erneut, ob weitere Updates angeboten werden.

Falls ein Firmensystem über einen Verwaltungsdienst wie WSUS oder Intune versorgt wird, sollte das Gerät die Freigabe der Administratoren abwarten. In diesem Fall ist es sinnvoll, den Patchstatus zentral zu kontrollieren und betroffene Geräte gezielt nachzuziehen.

Wenn Windows Update nichts anbietet

Manchmal wird das passende Paket nicht sofort angezeigt. Dann gibt es mehrere Wege, die Aktualisierung dennoch zu erhalten. Der sauberste Weg führt über den Microsoft Update Catalog oder über die unternehmensweite Verteilung, sofern eine solche vorhanden ist.

Anleitung
1Öffne die Einstellungen mit Windows-Taste + I.
2Rufe Windows Update auf.
3Prüfe, ob verfügbare Qualitätsupdates angezeigt werden.
4Starte die Suche nach Updates, falls keine Einträge sichtbar sind.
5Notiere den Installationszeitpunkt des letzten kumulativen Updates.

  • Prüfe, ob das Gerät auf einer unterstützten Windows-11-Version läuft.
  • Kontrolliere, ob die Internetverbindung den Zugriff auf Microsoft-Server zulässt.
  • Vergleiche die Build-Nummer mit dem Stand der letzten Sicherheitsfreigabe.
  • Lade das freigegebene Paket nur aus vertrauenswürdigen Quellen herunter.

Wenn das System schon länger nicht aktualisiert wurde, lohnt sich vorher oft ein normales Sammelupdate, bevor spezielle Nachbesserungen aufgespielt werden. So sinkt das Risiko von Installationsfehlern und Abhängigkeitsproblemen.

SMBv3 nach dem Update absichern

Nach dem Einspielen des Patches sollte die Netzfreigabe nicht unkontrolliert weiterlaufen. Wer SMB benötigt, lässt den Dienst aktiv, reduziert aber die Angriffsfläche. Das betrifft vor allem alte Protokollteile, offene Freigaben und unnötige Zugriffsrechte.

Wichtige Maßnahmen im Alltag sind:

  • Nur benötigte Ordner freigeben.
  • Gastzugriffe vermeiden.
  • Starke Kennwörter für Konten mit Freigaberechten nutzen.
  • SMBv1 deaktiviert lassen, falls es noch aktiv sein sollte.
  • Firewall-Regeln auf die tatsächlich benötigten Netzbereiche beschränken.

Gerade in kleinen Netzen wird die Freigabe oft einmal eingerichtet und später nie wieder geprüft. Ein kurzer Blick auf die Berechtigungen verhindert, dass alte Testordner oder vergessene Zugänge offen bleiben.

SMBv1 kontrollieren und alte Wege schließen

Auch wenn die neue Schwachstelle SMBv3 betrifft, sollte SMBv1 separat geprüft werden. Dieses ältere Protokoll gilt seit Jahren als unnötiges Risiko. Ist es noch vorhanden, gehört es in vielen Fällen abgeschaltet.

Die Einstellung findest du über Systemsteuerung > Programme > Programme und Features > Windows-Features aktivieren oder deaktivieren. Dort kann die Option für SMB 1.0/CIFS erscheinen. Falls sie aktiviert ist, sollte sie nur in Ausnahmefällen weiterlaufen, etwa bei sehr alter Hardware oder spezieller Software, die anders nicht arbeitet.

Nach dem Ändern der Windows-Features ist meist ein Neustart nötig. Anschließend sollte geprüft werden, ob alle benötigten Freigaben weiterhin erreichbar sind. So bleibt das Netz funktionsfähig, ohne überholte Protokolle mitzuschleppen.

Die Firewall richtig einstellen

Die Windows-Firewall trägt dazu bei, den Zugriff auf Freigaben einzuschränken. Wer SMB im Heimnetz nutzt, sollte eingehende Verbindungen nicht pauschal für alle Netzwerke öffnen. Besonders wichtig ist die Trennung zwischen privaten und öffentlichen Profilen.

Unter Einstellungen > Datenschutz und Sicherheit > Windows-Sicherheit > Firewall- und Netzwerkschutz lassen sich die Profile prüfen. Achte darauf, dass Freigaben nur im privaten Netz verfügbar sind. In öffentlichen Netzwerken sollten solche Dienste grundsätzlich nicht erreichbar sein.

In Firmenumgebungen gehört zusätzlich die Kontrolle der Portfreigaben dazu. SMB nutzt typischerweise Port 445. Dieser Port sollte nur für Systeme erreichbar sein, die ihn wirklich brauchen, etwa Datei-Server oder NAS-Geräte im internen Netz.

Ein schneller Kontrolllauf nach dem Neustart

Nach dem Patchen und Absichern folgt ein kurzer Funktionstest. So stellst du sicher, dass die Schutzmaßnahmen greifen und der Rechner weiterhin sauber arbeitet.

  1. Öffne erneut Windows Update und prüfe den Status.
  2. Starte den Datei-Explorer und teste eine bekannte Freigabe.
  3. Kontrolliere, ob Drucker und Netzlaufwerke erreichbar sind.
  4. Prüfe im Ereignisprotokoll auf Hinweise zu Netzwerkfehlern.

Wenn ein Zugriff fehlschlägt, liegt das nicht automatisch am Update. Häufig sind Berechtigungen, DNS-Einträge oder eine Firewall-Regel die eigentliche Ursache. Genau deshalb lohnt sich der Abgleich von Update-Status und Netzwerkzugriff direkt nach dem Neustart.

Mehr Schutz im laufenden Betrieb

Eine einzelne Aktualisierung schließt die akute Lücke, doch ein robuster Schutz entsteht erst durch eine wiederkehrende Routine. Dazu zählen regelmäßige Windows-Updates, aktuelle Treiber, wenig benötigte Freigaben und saubere Kontenverwaltung. Wer außerdem sensible Geräte vom übrigen Netz trennt, reduziert den möglichen Schaden bei einer späteren Lücke deutlich.

Für Rechner mit häufigen Netzwerkfreigaben ist außerdem hilfreich, automatische Wiederholungen bei fehlgeschlagenen Updates zu prüfen. Bleibt ein Patch aus, sollte das Gerät nicht tagelang ungeprüft weiterlaufen. Ein kurzer Blick in die Update-Historie reicht oft schon, um Fehlversuche oder blockierte Installationen zu erkennen.

Auch Backup-Strategien gehören in diesen Zusammenhang. Eine aktuelle Sicherung ersetzt keinen Patch, macht aber den Wiederherstellungsweg deutlich einfacher, falls durch eine Sicherheitsmaßnahme versehentlich eine Freigabe oder ein Dienst neu eingerichtet werden muss.

SMBv3 gezielt absichern, statt nur das Update auszulösen

Die Schwachstelle CVE-2026-46156 betrifft den Datei- und Druckfreigabedienst in Windows 11 und damit einen Bereich, der in vielen Umgebungen permanent erreichbar ist. Nach dem Einspielen des von Microsoft bereitgestellten Updates sollte deshalb nicht nur die Oberfläche geprüft werden, sondern auch die technische Wirkung. Erst wenn der betroffene SMBv3-Stack aktualisiert, aktive Verbindungen neu aufgebaut und unnötige Freigaben bereinigt wurden, ist die Angriffsfläche spürbar kleiner.

Wichtig ist dabei die Reihenfolge. Zuerst kommt die Sicherheitskorrektur über Windows Update oder das passende Offline-Paket, anschließend folgen Funktionskontrolle, Protokollprüfung und eine kurze Härtung der Umgebung. So lässt sich vermeiden, dass ein Rechner zwar den Patch trägt, aber durch offene Freigaben, alte Authentifizierungswege oder ungeschützte Admin-Zugänge weiterhin angreifbar bleibt.

Diese Punkte sollten nach dem Patch sofort geprüft werden

  • Der Rechner hat neu gestartet und arbeitet mit der aktuellen Build-Nummer.
  • Die SMB-Freigaben werden nur von Systemen verwendet, die sie wirklich benötigen.
  • Unverschlüsselte Zugriffe auf sensible Freigaben sind abgeschaltet oder eingeschränkt.
  • Die Ereignisanzeige zeigt keine neuen Fehler im Bereich Server oder SMBClient.
  • Netzlaufwerke, die für den Betrieb wichtig sind, verbinden sich erneut ohne Meldungen.

Freigaben und Berechtigungen auf das Nötigste reduzieren

Ein Patch schließt die Lücke, aber übermäßige Rechte erhöhen weiterhin das Risiko für seitliche Bewegungen im Netzwerk. Prüfe deshalb jede Freigabe darauf, ob sie noch gebraucht wird. Verwaiste Ordner, Testfreigaben und alte Projektpfade sollten entfernt oder mindestens deaktiviert werden. Gerade in kleineren Umgebungen bleibt oft mehr offen, als für den Alltag nötig ist.

Öffne dafür die Freigabeverwaltung über die Systemeinstellungen oder die Computerverwaltung und gehe Ordner für Ordner durch. Achte auf Leserechte für „Jeder“, auf Schreibzugriffe für große Gruppen und auf administrative Freigaben, die in der Praxis nicht verwendet werden. Für sensible Daten gilt: weniger Zugriffe, klarere Gruppen, keine Sammelberechtigungen.

Saubere Aufteilung bei Freigaben

  1. Nur Arbeitsordner freigeben, keine kompletten Laufwerke ohne Grund.
  2. Lesen und Schreiben trennen, statt pauschal Vollzugriff zu vergeben.
  3. Temporäre Freigaben nach Abschluss der Arbeit wieder entfernen.
  4. Für Abteilungen eigene Gruppen statt einzelner Benutzer verwenden.
  5. Prüfen, ob die Freigabe von außen über VPN oder gar nicht erreichbar sein soll.

Verschlüsselung, Signierung und Netzwerkpfad sauber einstellen

SMBv3 bringt Sicherheitsfunktionen mit, die in vielen Systemen nicht konsequent genutzt werden. Dazu gehören Verschlüsselung und Signierung. Beide Einstellungen helfen, Inhalte und Verbindungen besser zu schützen, vor allem in gemischten Netzen oder an Arbeitsplätzen mit mehreren Geräten im gleichen Segment. Wer sensible Daten über Freigaben austauscht, sollte diese Funktionen nicht nur kennen, sondern gezielt aktiv einsetzen.

Die Einstellungen findest du je nach Umgebung in den Gruppenrichtlinien, in der lokalen Sicherheitsrichtlinie oder in den erweiterten Freigabeeinstellungen. Für Unternehmensgeräte lohnt sich eine Vorgabe über Richtlinien, damit nicht jeder PC anders konfiguriert ist. So wird verhindert, dass ein einzelner abweichender Arbeitsplatz zum schwächsten Glied wird.

Typische Stellen für die Anpassung

  • Lokale Gruppenrichtlinie: unter den Sicherheitsoptionen für Netzwerksignierung und Gastzugriffe.
  • Erweiterte Freigabeeinstellungen: für Netzwerkkennung und Freigabeoptionen.
  • PowerShell: für eine schnelle Prüfung von SMB-Funktionen und aktiven Servereinstellungen.
  • Windows-Firewall: für das gezielte Freigeben einzelner Profile und Regeln.

Wer Verbindungen über ältere Geräte oder spezielle Scanner aufbauen muss, sollte vor jeder Änderung testen, ob diese Systeme Verschlüsselung und Signierung unterstützen. Dann lässt sich die Sicherheit anheben, ohne produktive Abläufe zu stören. Falls ein Altgerät nicht mithalten kann, gehört es nicht in dieselbe Freigabegruppe wie moderne Clients.

Mit Prüfkommandos den Zustand technisch bestätigen

Nach dem Update reicht ein bloßer Blick in die Einstellungen nicht aus. Besser ist eine kurze technische Prüfung, die den tatsächlichen Zustand der SMB-Komponenten zeigt. In einer Eingabeaufforderung mit Administratorrechten oder in PowerShell lassen sich mehrere Werte abfragen, die bei der Beurteilung helfen. So erkennst du, ob SMBv3 aktiv ist, ob die Konfiguration passt und ob noch alte Protokollwege offen sind.

Für einen schnellen Überblick eignen sich vor allem diese Prüfungen: aktive SMB-Verbindungen, Client- und Serverfunktionen sowie installierte Updates. Wer zentral verwaltete Geräte betreut, sollte zusätzlich auf den Update-Status in der Verwaltungsumgebung achten, damit nicht einzelne Rechner zurückbleiben.

Bewährte Prüfschritte in PowerShell

  1. Get-SmbConnection ausführen und aktive Verbindungen ansehen.
  2. Get-SmbClientConfiguration prüfen, um Client-Parameter zu kontrollieren.
  3. Get-SmbServerConfiguration verwenden, um Serverfunktionen einzusehen.
  4. Get-HotFix oder die Update-Historie prüfen, um das Sicherheitsupdate zu bestätigen.
  5. Bei Auffälligkeiten die Ereignisanzeige im Bereich „Windows-Protokolle“ und „Anwendung und Dienstprotokolle“ öffnen.

Falls ein Eintrag auf Fehler beim Verbindungsaufbau oder auf Authentifizierungsprobleme hinweist, sollte die Ursache nicht erst später gesucht werden. Oft ist eine ältere Freigabe, eine widersprüchliche Richtlinie oder ein blockierter Port der Auslöser. Je schneller das geprüft wird, desto eher lässt sich der Betrieb stabil halten.

FAQ zur Behebung und Absicherung

Wie erkenne ich, ob mein Rechner das Sicherheitsupdate schon erhalten hat?

Öffne die Windows-Einstellungen und prüfe unter Windows Update, ob zuletzt erfolgreich installiert wurde und welche Qualitätsupdates eingespielt sind. In der Update-Historie lässt sich außerdem nachvollziehen, ob ein aktueller Patch bereits auf dem System liegt.

Reicht es aus, nur den betroffenen Dienst zu deaktivieren?

Nein, das ersetzt das Sicherheitsupdate nicht. Ein Dienststopp kann die Angriffsfläche vorübergehend reduzieren, beseitigt aber nicht die Ursache in der SMBv3-Komponente und ist daher nur eine Übergangslösung.

Was ist der schnellste Weg, um das System zu schützen?

Der schnellste Weg ist das sofortige Einspielen aller verfügbaren Windows-Updates und ein anschließender Neustart. Danach sollte geprüft werden, ob der Patch wirklich abgeschlossen wurde und keine ausstehenden Installationen mehr offen sind.

Kann ich die Lücke auch über Gruppenrichtlinien oder Registry-Einträge absichern?

Ja, in verwalteten Umgebungen lassen sich ergänzende Schutzmaßnahmen per Gruppenrichtlinie oder Registry setzen, etwa durch das Einschränken älterer SMB-Funktionen. Solche Anpassungen sollten aber sauber dokumentiert und nach dem offiziellen Patch wieder überprüft werden, damit keine unnötigen Nebenwirkungen bleiben.

Welche SMB-Funktionen sollte ich nach dem Update kontrollieren?

Wichtig ist vor allem, dass SMBv1 abgeschaltet bleibt und keine unnötigen Freigaben offen sind. Zusätzlich lohnt sich ein Blick auf signierte Verbindungen, Zugriffsrechte und auf Systeme, die weiterhin mit älteren Protokollen sprechen.

Wie prüfe ich, ob SMBv1 noch aktiv ist?

Die Funktion lässt sich in den optionalen Windows-Features oder per PowerShell kontrollieren. Wenn SMBv1 noch aktiviert ist, sollte es entfernt werden, da es unnötige Altlasten und zusätzliche Risiken verursacht.

Was mache ich, wenn der Neustart das Update scheinbar nicht abschließt?

Dann hilft oft ein weiterer Neustart, gefolgt von einer erneuten Prüfung der Update-Historie. Bleibt der Zustand unverändert, sollte die Windows-Problembehandlung gestartet und das Update notfalls manuell über den Update-Katalog oder das passende Verwaltungswerkzeug installiert werden.

Wie kann ich meine Freigaben auf unnötige Risiken prüfen?

Öffne die Freigabeeinstellungen und kontrolliere, welche Ordner wirklich im Netz erreichbar sein müssen. Entferne alles, was nicht gebraucht wird, und verenge die Berechtigungen auf die Konten und Gruppen, die den Zugriff tatsächlich benötigen.

Welche Rolle spielt die Firewall nach dem Patch?

Die Firewall bleibt ein wichtiger Schutzschild, weil sie SMB-Verkehr auf vertrauenswürdige Netze und Systeme begrenzen kann. Besonders in Heim- und Firmennetzen sollte der Zugriff auf Datei- und Druckfreigaben nicht pauschal für alle Profile offen sein.

Wie gehe ich in einer kleinen Heimnetz-Umgebung vor?

Auch dort gilt: erst patchen, dann alte Freigaben und Legacy-Funktionen zurückbauen. Danach sollte nur noch der wirklich benötigte Zugriff bestehen, idealerweise auf Geräte im eigenen Netz und mit klaren Kennwörtern geschützt.

Was ist nach dem Update im Alltag noch wichtig?

Halte Windows Update aktiv, damit weitere Sicherheitskorrekturen automatisch nachgezogen werden. Zusätzlich lohnt sich ein regelmäßiger Blick auf installierte Funktionen, Freigaben und offene Netzwerkdienste, damit der Schutz dauerhaft stabil bleibt.

Fazit

Die Schwachstelle in der SMBv3-Komponente sollte ohne Verzögerung geschlossen werden, und zwar durch ein aktuelles Windows-Update auf allen betroffenen Geräten. Danach sind Freigaben, Protokolle und Firewall-Regeln so zu prüfen, dass nur der notwendige Zugriff übrig bleibt. Wer diese Reihenfolge einhält, reduziert das Risiko nachhaltig und hält das System technisch sauber.

Checkliste
  • Prüfe, ob das Gerät auf einer unterstützten Windows-11-Version läuft.
  • Kontrolliere, ob die Internetverbindung den Zugriff auf Microsoft-Server zulässt.
  • Vergleiche die Build-Nummer mit dem Stand der letzten Sicherheitsfreigabe.
  • Lade das freigegebene Paket nur aus vertrauenswürdigen Quellen herunter.

Deine Bewertung
0,0 0 Stimmen
Klicke auf einen Stern, um zu bewerten.

Das könnte dich auch interessieren:


Unsere Redaktion

Über 15 Jahre Erfahrung mit Windows- und PC-Problemen aller Art. Wir sind Euer Technikratgeber seit 2009.

Mitarbeiter Porträt Martin Keller

Martin Keller

34, Hamburg, gelernter IT-Systemadministrator und Schachfreund. Mag außerdem gerne gutes Bier.

Mitarbeiter Porträt Daniel Cho

Daniel Cho

29, Frankfurt am Main, Data Analyst. Fotografie-begeistert und Stratege durch und durch. Kann alles.

Mitarbeiterin Porträt Sofia Mendes

Sofia Mendes

27, Köln, Projektmanagerin. Workshop-Junkie und Handy-süchtig. Sprachen-Genie mit italienischen Wurzeln.

Mitarbeiter Porträt Tobias Wagner

Tobias Wagner

36, Stuttgart, Softwareentwickler. Digital Native und PC-Freak durch und durch. Spielt perfekt Gitarre.

Mitarbeiter Porträt Enzokuhle Dlamini

Enzokuhle Dlamini

55, Düsseldorf, Personalmanagerin. Liebt ihren Garten genauso wie WordPress. Geboren in Südafrika.

Mitarbeiter Porträt Joachim Freising

Joachim Freising

52, Bergisch-Gladbach, Teamleiter IT. Technik-affin. Hat für jedes Problem eine Lösung parat. Sehr geduldig.

Unsere Redaktion:

Über 15 Jahre Erfahrung mit Windows- und PC-Problemen aller Art. Wir sind Euer Technikratgeber seit 2009.

Mitarbeiter Porträt Martin Keller

Martin Keller

Mitarbeiter Porträt Daniel Cho

Daniel Cho

Mitarbeiterin Porträt Sofia Mendes

Sofia Mendes

Mitarbeiter Porträt Tobias Wagner

Tobias Wagner

Mitarbeiter Porträt Enzokuhle Dlamini

Enzokuhle Dlamini

Mitarbeiter Porträt Joachim Freising

Joachim Freising

Schreibe einen Kommentar