Отнася се за
Windows Server 2025, all editions

Дата на издаване:

12.05.2026 г.

Версия:

Компилация на ОС 26100.32860

Тази кумулативна актуализация за Windows Server 2025 г. (KB5087539) включва най-новите корекции на защитата и подобрения, както и актуализации, които не са свързани със защитата, от опционалното издание за предварителен преглед от миналия месец. За да научите повече за разликите между актуализациите на защитата, незадължителните актуализации за предварителен преглед, които не са свързани със защитата, актуализациите извън обхват (OOB) и непрекъснатите иновации, вижте обясненията на месечните актуализации за Windows. За информация относно терминологията за актуализациите на Windows вж. различните типове софтуерни актуализации на Windows.

За да видите най-новите актуализации за това издание, посетете таблото за изправност на изданието на Windows или страницата с хронологията на актуализациите за Windows Server 2025.   

Съобщения и съобщения

Този раздел предоставя ключови известия, свързани с това издание, включително съобщения, регистрационни файлове на промените и известия за край на поддръжката.

Изтичане на сертификата за защитено стартиране на Windows и актуализации на CA

Забележка: Сертификатите за защитено стартиране, използвани от повечето устройства с Windows, изтичат от юни 2026 г. Това може да засегне способността на определени лични и бизнес устройства да се стартират защитено, ако не се актуализират навреме. За да избегнете прекъсване на работата, ви препоръчваме да прегледате указанията и да предприемете действия за предварително актуализиране на сертификатите. За подробности и стъпки за подготовка вж. изтичането на срока на сертификата за защитено стартиране на Windows и актуализациите на CA и блога за тактически наръчник за защитата на Windows Server.

Промяна на датата

Описание на промяната

9 юни 2026 г.

Известни проблеми са актуализирани: Добавена е резолюция за "Устройства с непрепоръчително конфигуриране на групови правила на BitLocker може да се наложи да въведат своя ключ за възстановяване на BitLocker".

27 май 2026 г.

Актуализирани команди (низове на MSU) в "Каталог".

15 май 2026 г.

Добавена е актуализация на услугите за сертификати на Active Directory.

13 май 2026 г.

Добавена бележка по изданието на защитеното стартиране: Тази актуализация добавя нова папка за SecureBoot под C:\Windowsна отговарящите на изискванията устройства.

Подобрения

Тази актуализация на защитата съдържа корекции и подобрения на качеството от KB5082063 (издадена на 14 април 2026 г.) и KB5091157 (издадена на 19 април 2026 г.). В резюмето по-долу са описани ключовите проблеми, адресирани от тази актуализация. Включени са също и налични нови функции. Получер текст в скобите показва елемента или областта на промяната. ​​​​

  • [Защитено зареждане] 

    • ​​​​​​​​​​​​​​С тази актуализация актуализациите на качеството на Windows включват допълнителни данни за насочване към устройства с висока достоверност, увеличавайки покритието на устройствата, отговарящи на условията за автоматично получаване на нови сертификати за защитено стартиране. Устройствата получават новите сертификати само след демонстриране на достатъчно сигнали за успешна актуализация, поддържайки контролирано и поетапно внедряване.

    • Тази актуализация добавя нова папка SecureBootпод C:\Windowsна отговарящи на изискванията устройства. Папката съдържа примерни скриптове, предназначени за организации с ИТ специалисти, които активно управляват актуализациите в целия си парк от устройства. Тези скриптове могат да се използват за откриване на състоянието на актуализация на сертификата за защитено стартиране и за автоматизиране на внедряването чрез механизъм за безопасно внедряване в среда на Active Directory. За повече информация вижте Sample Secure Boot E2E Automation Guide.

  • [Възможности за свързване] Тази актуализация подобрява надеждността на известията по протокола за опростено откриване на услуги (SSDP), за да предотврати спирането на услугата да отговаря.

  • [Лятно часово време (DST)] Тази актуализация поддържа промяната на лятното часово време за 2023 г. за Арабска република Египет.

  • [Домейнови контролери] Тази актуализация подобрява производителността на услугата за локална подсистема за удостоверяване на защита (LSASS) на домейнови контролери, когато Microsoft Defender е разрешен. Намалява използването на процесора и паметта по време на проследяване на събития за събиране на събития от Windows на IDL_DRSGetNCChanges.

  • [Отдалечен работен плот (известен проблем)] Поправено: Тази актуализация обръща внимание на проблем, който засяга диалоговия прозорец за предупреждение на защитата за връзка с отдалечен работен плот. Диалоговият прозорец може да се рендира неправилно в сценарий за няколко монитора, когато мониторите имат различно зададено мащабиране. Това може да се случи след инсталиране на актуализацията на защитата от април 2026 г. (KB5082063). За повече информация вижте "Разбиране на предупрежденията на защитата при отваряне на файлове на отдалечен работен плот (RDP)".

  • [Влизане] След като инсталирате актуализацията на Windows, издадена на или след 10 март 2026 г., някои потребители може да изпитат проблем с влизането в приложения с акаунт в Microsoft. Дори когато устройството има работеща интернет връзка, грешката "няма интернет" се появява по време на влизане, която предотвратява достъпа до услуги и приложения на Microsoft, като например Microsoft Teams.

  • [Услуги за сертификати на Active Directory] Тази актуализация добавя поддръжка за постквантови подписи на базиран на модул-решетка цифров алгоритъм за подпис (ML-DSA) в услугите за сертификати на Active Directory (AD CS).  Администраторите могат да конфигурират нови сертифициращи органи с ML-DSA-44, ML-DSA-65 или ML-DSA-87 и да издават устойчиви на кванти сертификати за подписване на код, защита на транспортния слой (TLS) и подписване на отговор по протокол за проверка на сертификат в реално време (OCSP).

Ако вече сте инсталирали предишни актуализации, вашето устройство ще изтегли и инсталира само новите актуализации, включени в този пакет.

За повече информация относно уязвимостите в защитата вж. ръководството за актуализации на защитата и Актуализации на защитата от май 2026 г.

Групова актуализация на услуги за Windows Server 2025 г. (KB5089717) – 26100.32837

Тази актуализация прави подобрения на качеството в групата на услуги, който е компонентът, който инсталира актуализациите на Windows. Груповите актуализации на услуги (SSU) гарантират, че разполагате със стабилна и надеждна група на услуги, така че вашите устройства да могат да получават и инсталират актуализации на Microsoft. За да научите повече за SSUs, вижте " Опростяване на локалното разполагане на групови актуализации на услуги".

Известни проблеми в тази актуализация

Симптом

Възможно е някои устройства с непрепоръчителна конфигурация на груповите правила за BitLocker да бъдат задължени да въведат своя ключ за възстановяване на BitLocker при първото рестартиране след инсталиране на тази актуализация.

Този проблем засяга само ограничен брой системи, в които са изпълнени ВСИЧКИ от следните условия. Тези условия е малко вероятно да се срещнат на лични устройства, които не се управляват от ИТ отдели.

  1. BitLocker е разрешен на устройството на операционната система.

  2. Груповата политика "Конфигуриране на профил за проверка на платформата TPM за родни UEFI фърмуерни конфигурации" е конфигурирана и PCR7 е включен в профила за проверка (или еквивалентният ключ в системния регистър е зададен ръчно).

  3. Системна информация (msinfo32.exe) съобщава състояние на защитено стартиране PCR7 обвързване като "Не е възможно".

  4. Сертификатът windows UEFI CA 2023 присъства в базата данни за подписи за защитено стартиране (DB) на устройството, което прави устройството отговарящо на условията за диспечера за зареждане на Windows, подписан с 2023, да стане по подразбиране.

  5. Устройството все още не използва диспечера за зареждане на Windows, подписан през 2023 г.

В този случай ключът за възстановяване на BitLocker трябва да бъде въведен само веднъж – следващите рестартирания няма да задействат екрана за възстановяване на BitLocker, стига конфигурацията на груповите правила да остане непроменена. За помощ при намирането на вашия ключ за възстановяване на BitLocker вижте статията "Намиране на вашия ключ за възстановяване на BitLocker".

Препоръчва се предприятията да проверят своите групови правила за BitLocker за изрично включване на PCR7 и да проверят msinfo32.exe за състоянието на обвързване на PCR7 преди инсталиране на тази актуализация. (Вижте заобиколното решение по-долу.)

Заобиколно решение 

Този проблем е решен в KB5094125. След инсталиране на KB5094125 устройствата  с тази несъвместима конфигурация на групови правила нямат възможност да инсталират подписания от 2023 г. диспечер за зареждане на Windows. Ако устройството ви е било засегнато, ИД на събитие 1032 ще се появи в регистъра на системните събития при инсталиране на актуализации на Windows: "Актуализацията на защитеното стартиране Boot Manager (2023) не беше приложена поради известна несъвместимост с текущата конфигурация на BitLocker."

Ако получите ИД на събитие 1032, Microsoft силно препоръчва да премахнете конфигурацията на групови правила, преди да инсталирате актуализации, така че да можете да инсталирате подписания от 2023 г. диспечер за зареждане на Windows и да продължите да получавате най-новите защити за защитено стартиране.

Премахнете конфигурацията на групови правила, преди да инсталирате актуализацията (препоръчва се) 

  1. Отворете редактора на групови правила (gpedit.msc) или конзолата за управление на групови правила.

  2. Навигирайте до: Конфигурация на компютъра > Административни шаблони > Компоненти на Windows > Шифроване на устройства с BitLocker > Устройства на операционната система.

  3. Задайте "Конфигуриране на профил за проверка на платформата TPM за родни UEFI фърмуерни конфигурации" на "Не е конфигуриран".

  4. Изпълнете следната команда на засегнатите устройства, за да разпространите промяната на правилата: gpupdate /force

  5. Изпълнете следната команда, за да преустановите BitLocker (ако BitLocker е разрешен на устройството C:): manage-bde -protectors -disable C:

  6. Изпълнете следната команда, за да възобновите BitLocker (ако BitLocker е разрешен на диск C:): manage-bde -protectors -enable C:

  7. Това актуализира обвързванията на BitLocker да използват избрания от Windows PCR профил по подразбиране.

Ако не желаете да премахнете тази конфигурация на групови правила, можете да инсталирате новия диспечер за зареждане на Windows, като временно спрете BitLocker и инсталирате актуализацията на защитеното стартиране. За да направите това:

  1. Изпълнете следната команда, за да преустановите BitLocker (ако BitLocker е разрешен на устройството C:): manage-bde -protectors -disable C:

  2. Изпълнете следната команда: Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

  3. Извършете рестартиране на устройството.

  4. След като новият диспечер за зареждане на Windows е инсталиран успешно, разрешете BitLocker, като изпълните командата: manage-bde -protectors -enable C:

След инсталирането на KB5070881 или по-нови актуализации, Windows Server Update Services (WSUS) не показва подробни данни за грешката при синхронизиране в своя отчет за грешки. Тази функционалност е временно премахната, за да се обърне внимание на уязвимостта при отдалечено изпълнение на код CVE-2025-59287

Как да изтеглите тази актуализация

Преди да инсталирате тази актуализация

Microsoft комбинира най-новата групова актуализация на услуги (SSU) за вашата операционна система с най-новата кумулативна актуализация (LCU). За обща информация относно SSUs вижте Групови актуализации на услуги.

Инсталиране на тази актуализация

За да инсталирате тази актуализация, използвайте един от следните канали за издание на Windows и Microsoft.

Достъпен

Следваща стъпка

Включено

Тази актуализация се изтегля и инсталира автоматично от актуализиране на Windows и Microsoft Update.

Ако искате да премахнете тази актуализация

Преди да решите да премахнете тази актуализация, вижте Разбиране на рисковете: защо не трябва да деинсталирате актуализациите на защитата.

За да премахнете LCU след инсталиране на комбинирания SSU и LCU пакет, използвайте опцията от команден ред DISM/Remove-Package с името на LCU пакета като аргумент. Можете да намерите името на пакета, като използвате тази команда: DISM /online /get-packages.

Изпълнението актуализиране на Windows самостоятелна програма за инсталиране (wusa.exe) с ключа /uninstall на комбинирания пакет няма да работи, защото комбинираният пакет съдържа SSU. Не можете да премахнете SSU от системата след инсталирането.

Информация за файлове

За списък на представените с тази актуализация файлове изтеглете информацията за файловете за кумулативна актуализация 5087539.

За списък на файловете, предоставени в груповата актуализация на услуги, изтеглете информацията за файловете за SSU (KB5089717) – версия 26100.32837.

Нуждаете ли се от още помощ?

Искате ли още опции?

Разгледайте ползите от абонамента, прегледайте курсовете за обучение, научете как да защитите устройството си и още.