Les Windows Server updates April 2026 marquent une période intense pour les administrateurs système. Au-delà des correctifs de sécurité habituels, des vulnérabilités imprévues et des bugs post-déploiement ont nécessité des actions rapides de la part de Microsoft. Cet article fait le point sur les correctifs critiques publiés en avril 2026, leurs impacts potentiels sur vos infrastructures, et les mesures à prendre pour garantir la stabilité et la sécurité de vos environnements Windows Server.
Les défis des mises à jour cumulatives d'avril 2026
Le Patch Tuesday d'avril 2026, notamment la mise à jour KB5082063, a introduit son lot de complications. Si l'objectif était de renforcer la sécurité, notamment autour de Kerberos et de corriger des vulnérabilités comme la CVE-2026-0386 concernant les Services de déploiement Windows (WDS), plusieurs problèmes ont rapidement été identifiés.
LSASS crash et redémarrages en boucle sur les contrôleurs de domaine
Le problème le plus critique signalé concerne les contrôleurs de domaine (DC) dans les environnements multi-domaines utilisant Privileged Access Management (PAM). Suite à l'installation des mises à jour d'avril 2026, ces DC pouvaient entrer dans une boucle de redémarrage due à des plantages du processus LSASS (Local Security Authority Subsystem Service). Ceci a pour conséquence directe une indisponibilité des services d'annuaire et des mécanismes d'authentification, un scénario désastreux pour toute production. Microsoft a rapidement reconnu ce bug, le listant comme un problème affectant spécifiquement les DC.
Problèmes d'installation et de configuration sur Windows Server 2025 et BitLocker
Outre les redémarrages en boucle, des échecs d'installation de la mise à jour KB5082063 ont été observés sur certaines machines Windows Server 2025, avec des codes d'erreur comme 0x800F0983 ou 0x80073712. Par ailleurs, un scénario plus spécifique, mais tout aussi gênant, pouvait affecter les serveurs avec BitLocker activé et configuré selon des critères précis : l'entrée en mode de récupération BitLocker. Cela se produisait sous une combinaison de conditions incluant l'absence d'un Windows Boot Manager signé plus récent, l'activation de BitLocker sur le lecteur système, une GPO spécifique de validation TPM, et l'état "Impossible" de la liaison PCR7 dans msinfo32.
Les correctifs hors bande (Out-of-Band) d'avril 2026
Face à ces dysfonctionnements majeurs, Microsoft n'a pas tardé à réagir en publiant des mises à jour hors bande (OOB) pour corriger les problèmes introduits par les mises à jour cumulatives d'avril. Ces patchs sont essentiels pour rétablir la stabilité de vos environnements.
Les mises à jour OOB à déployer d'urgence
Il est impératif de déployer ces nouvelles mises à jour, particulièrement sur vos contrôleurs de domaine et vos serveurs Windows Server 2025. Voici les références principales :
- Windows Server 2025 : KB5091157 (OS Build 26100.32698) - Ce patch corrige à la fois les problèmes d'installation et ceux liés au redémarrage des DC.
- Windows Server, version 23H2 : KB5091571 (OS Build 25398.2276)
- Windows Server 2022 : KB5091575 (OS Build 20348.5024)
- Windows Server 2019 : KB5091573 (OS Build 17763.8647)
- Windows Server 2016 : KB5091572 (OS Build 14393.9062)
- Windows Server 2025 Datacenter (Azure Edition) : Hotpatch KB5091470
- Windows Server 2022 Datacenter (Azure Edition) : Hotpatch KB5091576
Ces mises à jour OOB s'installent par-dessus les mises à jour d'avril déjà installées, appliquant uniquement les correctifs différentiels. Il est à noter que ces correctifs ne sont généralement pas distribués via Windows Update et doivent être téléchargés manuellement depuis le catalogue Microsoft Update.
Évolutions de sécurité et autres nouveautés d'avril 2026
Au-delà des correctifs d'urgence, les mises à jour cumulatives d'avril 2026 apportent également des améliorations de sécurité et des changements fonctionnels notables pour les différentes versions de Windows Server.
Renforcement de Kerberos et protections RDP
La mise à jour KB5082063 renforce la sécurité autour de Kerberos. Elle poursuit le plan de Microsoft initié en janvier 2026 pour déprécier l'utilisation de RC4 avec Kerberos (CVE-2026-20833), poussant vers des méthodes de chiffrement plus robustes comme AES-SHA1. Sans configuration explicite, les tickets Kerberos utiliseront désormais AES-SHA1 par défaut. Si votre environnement utilise encore RC4 pour des services ou périphériques legacy, il est crucial de vérifier la compatibilité et d'anticiper la migration.
Dans le domaine de la connexion à distance, les mises à jour apportent une protection anti-hameçonnage pour le client Remote Desktop (mstsc.exe). L'ouverture d'un fichier .rdp déclenche désormais une alerte de sécurité, affichant les paramètres de partage de ressources demandés. Les fichiers sans éditeur vérifiable afficheront une bannière "Attention : connexion à distance inconnue" (CVE-2026-26151).
Modifications pour Windows Server 2025 et autres serveurs
Pour Windows Server 2025, la KB5082063 apporte également des nouveautés impactant les raccourcis Bureau à distance (.rdp) avec de nouveaux avertissements pour les fichiers non signés par un éditeur approuvé. La mise à jour améliore également l'application des stratégies de chiffrement Kerberos lors de l'authentification. Pour Windows Server 2022, en plus des améliorations générales, la KB5082142 améliore la fiabilité audio et la stabilité lors des opérations sur fichiers volumineux. Windows Server 2019 voit des correctifs pour la console PowerShell, notamment pour l'affichage des caractères japonais, en plus des changements Kerberos et RDP.
FAQ : Vos questions sur les mises à jour Windows Server d'avril 2026
Voici les réponses aux questions que vous pourriez vous poser concernant ces mises à jour critiques.
Pourquoi Microsoft a-t-il publié des mises à jour hors bande en avril 2026 ?
Microsoft a publié des mises à jour hors bande (OOB) pour corriger des bugs critiques introduits par les mises à jour cumulatives régulières d'avril 2026. Ces bugs affectaient principalement la stabilité des contrôleurs de domaine (LSASS crash, redémarrages en boucle) et les processus d'installation sur Windows Server 2025.
Comment puis-je obtenir ces mises à jour hors bande ?
Ces mises à jour OOB ne sont généralement pas distribuées via Windows Update. Vous devez les télécharger manuellement depuis le catalogue Microsoft Update. Une recherche par le numéro KB de la mise à jour correspondante à votre version de Windows Server vous permettra de trouver les paquets d'installation.
Quel est l'impact de la modification du chiffrement Kerberos sur mon Active Directory ?
La modification du comportement par défaut de Kerberos vers AES-SHA1 au lieu de RC4 vise à renforcer la sécurité. Si votre environnement utilise encore RC4 pour des applications, services ou périphériques legacy, vous pourriez rencontrer des problèmes d'authentification. Il est recommandé d'identifier ces dépendances et de les mettre à jour ou de configurer explicitement l'utilisation de RC4 si nécessaire, en attendant une migration complète.
La mise à jour KB5082063 est-elle obligatoire pour tous les serveurs ?
La mise à jour KB5082063 est une mise à jour cumulative de sécurité. Il est fortement recommandé de l'installer sur tous les serveurs pour bénéficier des correctifs de sécurité et des améliorations. Cependant, en raison des bugs qu'elle a introduits, il est désormais conseillé d'installer la mise à jour OOB correspondante par-dessus, surtout sur les contrôleurs de domaine.
Ce que j'en retiens
Les Windows Server updates April 2026 rappellent l'importance d'une stratégie de patch management rigoureuse, combinée à une surveillance accrue post-déploiement. Les mises à jour hors bande illustrent la réactivité de Microsoft face aux problèmes critiques, mais soulignent aussi le risque inhérent aux déploiements massifs. L'évolution de la sécurité Kerberos impose une veille technologique sur les compatibilités des applications métiers et matériels. En tant qu'administrateur système, votre rôle est de planifier, tester et déployer ces correctifs avec discernement, en privilégiant la stabilité de votre infrastructure Active Directory et la protection de vos données.