Тази кумулативна актуализация за Windows Server 2025 г. (KB5082063) включва най-новите корекции на защитата и подобрения, както и актуализации, които не са свързани със защитата, от изданието по избор от миналия месец. За да научите повече за разликите между актуализациите на защитата, незадължителните актуализации за предварителен преглед, които не са свързани със защитата, актуализациите извън обхват (OOB) и непрекъснатите иновации, вижте обясненията на месечните актуализации за Windows. За информация относно терминологията за актуализациите на Windows вж. различните типове софтуерни актуализации на Windows.
За да видите най-новите актуализации за това издание, посетете таблото за изправност на изданието на Windows или страницата с хронологията на актуализациите за Windows Server 2025.
Съобщения и съобщения
Този раздел предоставя ключови известия, свързани с това издание, включително съобщения, регистрационни файлове на промените и известия за край на поддръжката.
Изтичане на сертификата за защитено стартиране на Windows и изтичане на срока
Изтичане на сертификата за защитено стартиране на Windows и актуализации на CA
Забележка: Сертификатите за защитено стартиране, използвани от повечето устройства с Windows, изтичат от юни 2026 г. Това може да засегне способността на определени лични и бизнес устройства да се стартират защитено, ако не се актуализират навреме. За да избегнете прекъсване на работата, ви препоръчваме да прегледате указанията и да предприемете действия за предварително актуализиране на сертификатите. За подробности и стъпки за подготовка вж. изтичането на срока на сертификата за защитено стартиране на Windows и актуализациите на CA и блога за тактически наръчник за защитата на Windows Server.
Регистър на промените
| Промяна на датата | Описание на промяната |
|---|---|
| 9 юни 2026 г. |
|
| 12 май 2026 г. | Преглед на известен проблем: Актуализирано е заобиколно решение за "Предупреждения, свързани с отдалечен работен плот, може да не се показват правилно". |
| 1 май 2026 г. | Добавено е подобрение: [Списък с блокирани уязвими драйвери] |
| 27 април 2026 г. | Известна актуализация на проблем: Редакция на заглавие за известен проблем "Предупрежденията, свързани с отдалечен работен плот, може да не се показват правилно". |
| 23 април. 2026 | Добавен известен проблем: "Предупрежденията, свързани с отдалечен работен плот, може да не се показват правилно". |
| 21 април 2026 г. | Известен проблем е актуализиран: "Устройства с непрепоръчителна конфигурация на групови правила на BitLocker може да се наложи да въведат своя ключ за възстановяване на BitLocker". |
| 20 април 2026 г. | Известен проблем "Инсталирането на тази актуализация може да е неуспешно с грешка 0x800F0983 или 0x80073712" е редактиран за пояснение. |
| 19 април 2026 г. |
|
| 17 април 2026 г. | Известен проблем "Домейновите контролери може да се рестартират многократно след инсталиране на тази актуализация", е актуализиран с цел изясняване. |
| 16 април 2026 г. | Добавен известен проблем: "Домейновите контролери може да се рестартират многократно след инсталиране на тази актуализация" |
| 14 април 2026 г. | Добавен известен проблем: "Устройства с непрепоръчително конфигуриране на групови правила на BitLocker може да се наложи да въведат своя ключ за възстановяване на BitLocker" |
Подобрения
Тази актуализация на защитата съдържа корекции и подобрения на качеството от KB5078740 (издадена на 10 март 2026 г.). В резюмето по-долу са описани ключовите проблеми, адресирани от тази актуализация. Включени са също и налични нови функции. Получер текст в скобите показва елемента или областта на промяната.
[Защитено зареждане]
- С тази актуализация актуализациите на качеството на Windows включват допълнителни данни за насочване към устройства с висока достоверност, увеличавайки покритието на устройствата, отговарящи на условията за автоматично получаване на нови сертификати за защитено стартиране. Устройствата получават новите сертификати само след демонстриране на достатъчно сигнали за успешна актуализация, поддържайки контролирано и поетапно внедряване.
- Тази актуализация обръща внимание на проблем, при който устройството може да влезе в BitLocker Recovery след актуализации на защитеното стартиране.
[протокол Kerberos] Тази актуализация променя стойността по подразбиране DefaultDomainSupportedEncTypes за операции на центъра за даване на ключове (KDC) на Kerberos, за да се използва AES-SHA1 за акаунти, които нямат дефиниран атрибут на Active Directory с изричен msds-SupportedEncryptionTypes. За повече информация вижте "Как да управлявате използването на Kerberos KDC на RC4 за промени в издаването на билети за акаунт за услуга, свързани с CVE-2026-20833".
[Удостоверяване] Тази актуализация подобрява начина, по който Windows използва правилата за шифроване на Kerberos по време на удостоверяване. След като инсталирате тази актуализация, Windows чете конфигурираните настройки на правила по очаквания начин, което помага да се гарантира, че поведението на шифроване се прилага последователно в целия домейн.
[Bluetooth] Тази актуализация подобрява управлението на Bluetooth устройства в "Настройки" и "Бързи настройки", като помага на свързаните устройства да се показват последователно и улеснява добавянето и управлението.
[Графики] Тази актуализация подобрява цветопредаването при отпечатване от настолни приложения Win32.
[Работа в мрежа] Тази актуализация подобрява надеждността, когато Windows използва SMB компресиране по QUIC. След като инсталирате тази актуализация, SMB заявките за компресиране през QUIC се изпълняват по-последователно, което намалява вероятността от време на изчакване и поддържа по-плавна и по-надеждна работа.
[PowerShell] Тази актуализация подобрява начина, по който кратката команда за Set-GPPrefRegistryValue в PowerShell импортира стойностите на предпочитанията в системния регистър. Сега кратката команда запазва изцяло всяка импортирана стойност, включително последния знак.
[Отдалечен работен плот] Тази актуализация подобрява защитата срещу фишинг атаки, които използват файлове за отдалечен работен плот (.rdp). Когато отворите .rdp файл, отдалеченият работен плот показва всички искани настройки за връзка, преди да се свърже, като всяка настройка е изключена по подразбиране. Еднократно предупреждение на защитата се появява също и първия път, когато отворите .rdp файл на устройство. За повече информация вижте "Разбиране на предупрежденията на защитата при отваряне на файлове на отдалечен работен плот (RDP)".
[Текстове и шрифтове] Тази актуализация подобрява шрифтовете на Windows чрез добавяне на новия символ за валутата саудитски риал. Тази промяна помага за поддържането на текста ясен, точен и визуално съгласуван във всички приложения и среди за работа с Windows.
[Списък с блокирани уязвими драйвери] Тази актуализация въвежда промяна за подсилване на защитата, която добавя известни уязвими драйвери на ядрото към списъка с блокирани уязвими драйвери на Microsoft. Приложенията за архивиране, които разчитат на блокирани драйвери, може да срещнат неуспех при опит за монтиране или управление на образи на дискове.
Тези приложения, разчитащи на блокирани драйвери, може да показват съобщения за грешка, включително "Архивирането не е успешно, тъй като времето на изчакване за VSS на Microsoft е изтекло по време на създаването на снимка" или VSS_E_BAD_STATE. Засегнатите потребители трябва да актуализират до по-нова версия на своето приложение, която използва по-нови драйвери, които включват необходимите защити. За повече информация вижте Актуализациите на защитата на Windows от април 2026 г. въвеждат защити за известни уязвими драйвери на ядрото.[Услуги за разполагане на Windows (WDS)] Тази актуализация забранява функцията "Разполагане със свободни ръце" в WDS по подразбиране и вече не се поддържа функция. За повече информация относно тази промяна вж. Услуги за разполагане на Windows (WDS) Hands-Free Указания за подсилване на разполагането, свързани с CVE-2026-0386.
Ако вече сте инсталирали предишни актуализации, вашето устройство ще изтегли и инсталира само новите актуализации, включени в този пакет.
За повече информация относно уязвимостите в защитата вж. ръководството за актуализации на защитата и Актуализации на защитата от април 2026 г.
Групова актуализация на услуги за Windows Server 2025 г. (KB5082062) – 26100.32692
Тази актуализация прави подобрения на качеството в групата на услуги, който е компонентът, който инсталира актуализациите на Windows. Груповите актуализации на услуги (SSU) гарантират, че разполагате със стабилна и надеждна група на услуги, така че вашите устройства да могат да получават и инсталират актуализации на Microsoft. За да научите повече за SSUs, вижте " Опростяване на локалното разполагане на групови актуализации на услуги".
Известни проблеми в тази актуализация
Инсталирането на тази актуализация може да е неуспешно с грешка 0x800F0983 или 0x80073712
Симптом
Малък брой устройства може да не успеят да инсталират тази актуализация с едно от следните съобщения за грешка:
- "Грешка при инсталиране – 0x800F0983"
- "Някои файлове за актуализация липсват или имат проблеми. Ще опитаме да изтеглим актуализацията отново по-късно. Код на грешка: (0x80073712)"
Решение
Този проблем е решен в актуализации извън обхват KB5091157.
Забележка
Устройствата, записани с бърза поправка Windows Server 2025 г., засегнати от този проблем, могат да инсталират KB5091157 за актуализация извън обхвата, за да получат същите защити като актуализацията на защитата от април (KB5082063). Въпреки това инсталирането на KB5091157 изисква рестартиране и поставянето на бърза поправка е поставено на пауза. Актуализациите на бърза поправка ще се възобновят след актуализацията на базовата линия през юли 2026 г.
Домейновите контролери може да се рестартират многократно след инсталиране на тази актуализация
Симптом
След като инсталирате тази актуализация и рестартирате, домейновите контролери (DCs) в среди с множество домейни в гората, които използват Privileged Access Management (PAM), може да получат сривове на LSASS при стартиране. В резултат на това засегнатите домейнови контролери може да се рестартират многократно, което пречи на удостоверяването и справочните услуги да функционират и потенциално прави домейна недостъпен.
Решение
Този проблем е решен в актуализации извън обхват KB5091157.
Забележка
Ако вашето устройство от Windows Server 2025 г. е записано в бърза поправка, вместо това трябва да инсталирате актуализацията на OOB за бърза поправка KB5091470. Тази OOB актуализация за бърза поправка е издадена чрез актуализиране на Windows и не изисква рестартиране на устройството.
Устройства с непрепоръчителна конфигурация на групови правила на BitLocker може да се наложи да въведат своя ключ за възстановяване на BitLocker
Симптом
Възможно е някои устройства с непрепоръчителна конфигурация на груповите правила за BitLocker да бъдат задължени да въведат своя ключ за възстановяване на BitLocker при първото рестартиране след инсталиране на тази актуализация.
Този проблем засяга само ограничен брой системи, в които са изпълнени ВСИЧКИ от следните условия. Тези условия е малко вероятно да се срещнат на лични устройства, които не се управляват от ИТ отдели.
- BitLocker е разрешен на устройството на операционната система.
- Груповата политика "Конфигуриране на профил за проверка на платформата TPM за родни UEFI фърмуерни конфигурации" е конфигурирана и PCR7 е включен в профила за проверка (или еквивалентният ключ в системния регистър е зададен ръчно).
- Системна информация (msinfo32.exe) съобщава състояние на защитено стартиране PCR7 обвързване като "Не е възможно".
- Сертификатът windows UEFI CA 2023 присъства в базата данни за подписи за защитено стартиране (DB) на устройството, което прави устройството отговарящо на условията за диспечера за зареждане на Windows, подписан с 2023, да стане по подразбиране.
- Устройството все още не използва диспечера за зареждане на Windows, подписан през 2023 г.
В този случай ключът за възстановяване на BitLocker трябва да бъде въведен само веднъж – следващите рестартирания няма да задействат екрана за възстановяване на BitLocker, стига конфигурацията на груповите правила да остане непроменена. За помощ при намирането на вашия ключ за възстановяване на BitLocker вижте статията "Намиране на вашия ключ за възстановяване на BitLocker".
Препоръчва се предприятията да проверят своите групови правила за BitLocker за изрично включване на PCR7 и да проверят msinfo32.exe за състоянието на обвързване на PCR7 преди инсталиране на тази актуализация. (Вижте заобиколното решение по-долу.)
Заобиколно решение
Този проблем е решен в KB5094125. След инсталиране на KB5094125 устройствата с тази несъвместима конфигурация на групови правила са възпрепятствани да инсталират подписания от 2023 г. диспечер за зареждане на Windows. Ако устройството ви е било засегнато, ИД на събитие 1032 ще се появи в регистъра на системните събития при инсталиране на актуализации на Windows: "Актуализацията на защитеното стартиране Boot Manager (2023) не беше приложена поради известна несъвместимост с текущата конфигурация на BitLocker."
Ако получите ИД на събитие 1032, Microsoft силно препоръчва да премахнете конфигурацията на групови правила, преди да инсталирате актуализации, така че да можете да инсталирате подписания от 2023 г. диспечер за зареждане на Windows и да продължите да получавате най-новите защити за защитено стартиране.
Премахнете конфигурацията на групови правила, преди да инсталирате актуализацията (препоръчва се)
- Отворете редактора на групови правила (gpedit.msc) или конзолата за управление на групови правила.
- Навигирайте до: Компютърна конфигурация > Административни шаблони Компоненти >> на Windows Шифроване > на устройства с BitLocker Устройства на операционната система.
- Задайте "Конфигуриране на профил за проверка на платформата TPM за родни UEFI фърмуерни конфигурации" на "Не е конфигуриран".
- Изпълнете следната команда на засегнатите устройства, за да разпространите промяната на правилата: gpupdate /force
- Изпълнете следната команда, за да преустановите BitLocker (ако BitLocker е разрешен на устройството C:): manage-bde -protectors -disable C:
- Изпълнете следната команда, за да възобновите BitLocker (ако BitLocker е разрешен на диск C:): manage-bde -protectors -enable C:
- Това актуализира обвързванията на BitLocker да използват избрания от Windows PCR профил по подразбиране.
Ако не желаете да премахнете тази конфигурация на групови правила, можете да инсталирате новия диспечер за зареждане на Windows, като временно спрете BitLocker и инсталирате актуализацията на защитеното стартиране. За да направите това:
- Изпълнете следната команда, за да преустановите BitLocker (ако BitLocker е разрешен на устройството C:): manage-bde -protectors -disable C:
- Изпълнете следната команда: Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"
- Извършете рестартиране на устройството.
- След като новият диспечер за зареждане на Windows е инсталиран успешно, разрешете BitLocker, като изпълните командата: manage-bde -protectors -enable C:
Windows Server Update Services (WSUS) не показва подробни данни за грешката
След инсталирането на KB5070881 или по-нови актуализации, Windows Server Update Services (WSUS) не показва подробни данни за грешката при синхронизиране в своя отчет за грешки. Тази функционалност е временно премахната с цел справяне с уязвимостта при отдалечено изпълнение на код, CVE-2025-59287.
Предупрежденията, свързани с отдалечен работен плот, може да не се показват правилно
Симптоми
След като инсталирате тази актуализация, предупреждението на защитата , което се появява при отваряне на файлове в отдалечен работен плот (RDP), може да не се показва правилно в някои случаи.
Този проблем може да възникне, когато използвате повече от един монитор с различни настройки за мащабиране на дисплея (например един дисплей е настроен на 100%, а друг – на 125%). Когато това се случи, предупредителният прозорец може да покаже припокриващ се текст или частично скрити бутони, което може да затрудни четенето или взаимодействието със съобщението.
Заобиколно решение
Този проблем е решен в KB5087539.
Как да изтеглите тази актуализация
Преди да инсталирате тази актуализация
Microsoft комбинира най-новата групова актуализация на услуги (SSU) за вашата операционна система с най-новата кумулативна актуализация (LCU). За обща информация относно SSUs вижте Групови актуализации на услуги.
Инсталиране на тази актуализация
За да инсталирате тази актуализация, използвайте един от следните канали за издание на Windows и Microsoft.
| Налично | Следваща стъпка | |
|---|---|---|
|
Тази актуализация се изтегля и инсталира автоматично от актуализиране на Windows и Microsoft Update. |
Забележка
- Ако искате да премахнете тази актуализация
- Внимание! Преди да решите да премахнете тази актуализация, вижте Разбиране на рисковете: защо не трябва да деинсталирате актуализациите на защитата.
- За да премахнете LCU след инсталиране на комбинирания SSU и LCU пакет, използвайте опцията от команден ред DISM/Remove-Package с името на LCU пакета като аргумент. Можете да намерите името на пакета, като използвате тази команда: DISM /online /get-packages.
- Изпълнението актуализиране на Windows самостоятелна програма за инсталиране (wusa.exe) с ключа /uninstall на комбинирания пакет няма да работи, тъй като комбинираният пакет съдържа SSU. Не можете да премахнете SSU от системата след инсталирането.
Информация за файлове
За списък на представените с тази актуализация файлове изтеглете информацията за файловете за кумулативна актуализация 5082063.
За списък на представените файлове в груповата актуализация на услуги изтеглете информацията за файловете за SSU (KB5082062) – версия 26100.32692.