19 април 2026 г. – KB5091157 (компилация на ОС 26100.32698) – извън групата

Отнася се за
Windows Server 2025, all editions

Тази актуализация извън обхвата (OOB) за Windows Server 2025 г. (KB5091157) е кумулативна актуализация, която не е свързана със защитата.

Подобрения

Тази извънредна актуализация съдържа подобрения на качеството от KB5082063 (издадена на 14 април 2026 г.). В резюмето по-долу са описани ключовите проблеми, адресирани от тази извънрамкова актуализация. Получер текст в скобите показва елемента или областта на промяната.

  • [Active Directory] Поправено: След като инсталирате актуализацията на защитата на Windows от април 2026 г. и рестартирате, домейнови контролери (DCs) с многодомейнови гори, които използват управление на привилегирования достъп (PAM), може да изпитат проблеми при стартиране. В някои случаи услугата локална подсистема за удостоверяване на защита (LSASS) може да спре да отговаря, което води до повтарящи се рестартирания и предотвратява удостоверяване и справочни услуги, което може да направи домейна недостъпен.
  • [Инсталиране на актуализацията на Windows] Поправено: Малък брой устройства от Windows Server 2025 г. може да не успеят да инсталират актуализацията на защитата на Windows от 14 април 2026 г. (KB5082063). Когато възникне този проблем, засегнатите устройства може да покажат едно от следните съобщения за грешка: "Грешка при инсталиране: 0x800F0983" или "Някои файлове за актуализация липсват или имат проблеми. Ще опитаме да изтеглим актуализацията отново по-късно. Код на грешка: 0x80073712."

Ако сте инсталирали по-ранни актуализации, вашето устройство изтегля и инсталира само новите актуализации, включени в този пакет.

Групова актуализация на услуги на Windows Sever 2025 (KB5082062 – 26100.32692

Тази актуализация прави подобрения на качеството в групата на услуги, който е компонентът, който инсталира актуализациите на Windows. Груповите актуализации на услуги (SSU) гарантират, че разполагате със стабилна и надеждна група на услуги, така че вашите устройства да могат да получават и инсталират актуализации на Microsoft. За да научите повече за SSUs, вижте " Опростяване на локалното разполагане на групови актуализации на услуги".

Известни проблеми в тази актуализация

Устройства с непрепоръчителна конфигурация на групови правила на BitLocker може да се наложи да въведат своя ключ за възстановяване на BitLocker

Симптом

Възможно е някои устройства с непрепоръчителна конфигурация на груповите правила за BitLocker да бъдат задължени да въведат своя ключ за възстановяване на BitLocker при първото рестартиране след инсталиране на тази актуализация.

Този проблем засяга само ограничен брой системи, в които са изпълнени ВСИЧКИ от следните условия. Тези условия е малко вероятно да се срещнат на лични устройства, които не се управляват от ИТ отдели.

  1. BitLocker е разрешен на устройството на операционната система.
  2. Груповата политика "Конфигуриране на профил за проверка на платформата TPM за родни UEFI фърмуерни конфигурации" е конфигурирана и PCR7 е включен в профила за проверка (или еквивалентният ключ в системния регистър е зададен ръчно).
  3. Системна информация (msinfo32.exe) съобщава състояние на защитено стартиране PCR7 обвързване като "Не е възможно".
  4. Сертификатът windows UEFI CA 2023 присъства в базата данни за подписи за защитено стартиране (DB) на устройството, което прави устройството отговарящо на условията за диспечера за зареждане на Windows, подписан с 2023, да стане по подразбиране.
  5. Устройството все още не използва диспечера за зареждане на Windows, подписан през 2023 г.

В този случай ключът за възстановяване на BitLocker трябва да бъде въведен само веднъж – следващите рестартирания няма да задействат екрана за възстановяване на BitLocker, стига конфигурацията на груповите правила да остане непроменена. За помощ при намирането на вашия ключ за възстановяване на BitLocker вижте статията "Намиране на вашия ключ за възстановяване на BitLocker".

Препоръчва се предприятията да проверят своите групови правила за BitLocker за изрично включване на PCR7 и да проверят msinfo32.exe за състоянието на обвързване на PCR7 преди инсталиране на тази актуализация. (Вижте опция 1 по-долу.)

Заобиколно решение

Този проблем е решен в KB5094125. След инсталиране на KB5094125 устройствата с тази несъвместима конфигурация на групови правила са възпрепятствани да инсталират подписания от 2023 г. диспечер за зареждане на Windows. Ако устройството ви е било засегнато, ИД на събитие 1032 ще се появи в регистъра на системните събития при инсталиране на актуализации на Windows: "Актуализацията на защитеното стартиране Boot Manager (2023) не беше приложена поради известна несъвместимост с текущата конфигурация на BitLocker."

Ако получите ИД на събитие 1032, Microsoft силно препоръчва да премахнете конфигурацията на групови правила, преди да инсталирате актуализации, така че да можете да инсталирате подписания от 2023 г. диспечер за зареждане на Windows и да продължите да получавате най-новите защити за защитено стартиране.

Премахнете конфигурацията на групови правила, преди да инсталирате актуализацията (препоръчва се)

  1. Отворете редактора на групови правила (gpedit.msc) или конзолата за управление на групови правила.
  2. Навигирайте до: Компютърна конфигурация > Административни шаблони Компоненти >> на Windows Шифроване > на устройства с BitLocker Устройства на операционната система.
  3. Задайте "Конфигуриране на профил за проверка на платформата TPM за родни UEFI фърмуерни конфигурации" на "Не е конфигуриран".
  4. Изпълнете следната команда на засегнатите устройства, за да разпространите промяната на правилата: gpupdate /force
  5. Изпълнете следната команда, за да преустановите BitLocker (ако BitLocker е разрешен на устройството C:): manage-bde -protectors -disable C:
  6. Изпълнете следната команда, за да възобновите BitLocker (ако BitLocker е разрешен на диск C:): manage-bde -protectors -enable C:
  7. Това актуализира обвързванията на BitLocker да използват избрания от Windows PCR профил по подразбиране.

Ако не желаете да премахнете тази конфигурация на групови правила, можете да инсталирате новия диспечер за зареждане на Windows, като временно спрете BitLocker и инсталирате актуализацията на защитеното стартиране. За да направите това:

  1. Изпълнете следната команда, за да преустановите BitLocker (ако BitLocker е разрешен на устройството C:): manage-bde -protectors -disable C:
  2. Изпълнете следната команда: Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"
  3. Извършете рестартиране на устройството.
  4. След като новият диспечер за зареждане на Windows е инсталиран успешно, разрешете BitLocker, като изпълните командата: manage-bde -protectors -enable C:
Windows Server Update Services (WSUS) не показва подробни данни за грешката

След инсталирането на KB5070881 или по-нови актуализации, Windows Server Update Services (WSUS) не показва подробни данни за грешката при синхронизиране в своя отчет за грешки. Тази функционалност е временно премахната с цел справяне с уязвимостта при отдалечено изпълнение на код, CVE-2025-59287.

Предупрежденията, свързани с отдалечен работен плот, може да не се показват правилно

Симптоми

След като инсталирате тази актуализация, предупреждението на защитата , което се появява при отваряне на файлове в отдалечен работен плот (RDP), може да не се показва правилно в някои случаи.

Този проблем може да възникне, когато използвате повече от един монитор с различни настройки за мащабиране на дисплея (например един дисплей е настроен на 100%, а друг – на 125%). Когато това се случи, предупредителният прозорец може да покаже припокриващ се текст или частично скрити бутони, което може да затрудни четенето или взаимодействието със съобщението.

Заобиколно решение

Този проблем е решен в KB5087539.

Как да изтеглите тази актуализация

Преди да инсталирате тази актуализация

Microsoft сега комбинира най-новата групова актуализация на услуги (SSU) за вашата операционна система с най-новата кумулативна актуализация (LCU). За обща информация относно SSUs вижте Групови актуализации на услуги.

Инсталиране на тази актуализация

За да инсталирате тази актуализация, използвайте един от следните канали за издание на Windows и Microsoft.


Налично Следваща стъпка
Не е включено Вижте другите опции.

Забележка

Информация за файлове

За списък на представените с тази актуализация файлове изтеглете информацията за файловете за кумулативна актуализация 5091157.

За списък на файловете, предоставени в актуализацията на стека на услуги, изтеглете информацията за файловете за SSU (KB5082062) – версия 26100.32692.

Регистър на промените

Промяна на датата Описание на промяната
4 юни 2026 г. Коригиран е низ за актуализация на x64 .msu в раздела "Каталог" за KB5091157 (тази актуализация)
27 април 2026 г. Коригиран е известният проблем "Предупрежденията, свързани с отдалечен работен плот, може да не се показват правилно"