Изтичане на сертификата за защитено стартиране на Windows и актуализации на CA
Важно: Сертификатите за защитено стартиране, използвани от повечето устройства с Windows, изтичат от юни 2026 г. Това може да засегне способността на определени лични и бизнес устройства да се стартират защитено, ако не се актуализират навреме. За да избегнете прекъсване на работата, ви препоръчваме да прегледате указанията и да предприемете действия за предварително актуализиране на сертификатите.
За подробности и стъпки за подготовка за устройства с Windows вижте изтичането на срока на сертификата за защитено стартиране на Windows и актуализациите на сертифициращия орган.
За подробности и стъпки за подготовка за всички Windows Server вижте следните ресурси:
Резюме
Тази статия описва проблеми в защитата и подобрения на качеството, включени в тази кумулативна актуализация на защитата.
Отнася се за: Windows 10 ESU
Важно: Използвайте EKB KB5015684, за да актуализирате до Windows 10, версия 22H2.
Тази актуализация на защитата включва корекции и подобрения на качеството, които са част от следните актуализации:
По-долу е дадено резюме на проблемите, които тази актуализация обръща внимание, когато инсталирате тази актуализация. Ако има нови функции, в него са посочени и тях. Получер текст в скобите показва елемента или областта от промяната, която документираме.
-
[Предупреждения на защитата за отдалечен работен плот (известен проблем)] Коригирано: Диалоговият прозорец за предупреждение на защитата на връзката с отдалечен работен плот може да се рендира неправилно в конфигурации с няколко монитора с различни настройки за мащабиране на дисплея. Този проблем може да възникне след инсталирането на актуализацията на защитата на Windows, издадена на 14 април 2026 г. (KB5082200).
-
[Защитено стартиране]
-
Тази актуализация разрешава отчитане на динамично състояние за състоянието на състоянието на състоянието в Защита в Windows app.
-
С тази актуализация актуализациите на качеството на Windows включват допълнителни данни за насочване към устройства с висока достоверност, увеличаване на покритието на устройства, отговарящи на условията за автоматично получаване на нови сертификати за защитено стартиране. Устройствата получават новите сертификати само след като демонстрират достатъчно успешни сигнали за актуализация, поддържайки контролирано и поетапно внедряване.
-
-
[Лятно часово време] Актуализация за Арабска република Египет за подкрепа на реда за промяна на лятното и лятното време на правителството през 2023 г.
Ако сте инсталирали по-ранни актуализации, само новите актуализации, съдържащи се в този пакет, ще се изтеглят и инсталират на вашето устройство.
За повече информация относно уязвимостите на защитата вижте новия уеб сайт на справочника за актуализации на защитата и Актуализации на защитата от май 2026 г.
За информация относно терминологията на актуализацията на Windows вж. статията за типовете актуализации на Windows и месечните типове актуализации на качеството. За общ преглед на Windows 10, версия 22H2, вижте страницата хронология на актуализациите.
Известни проблеми в тази актуализация
-
Възможно е да се наложи устройства с неразрешена конфигурация на BitLocker групови правила, за да въведат своя ключ за възстановяване на BitLockerСимптоми
Възможно е някои устройства с непрепоръчителна конфигурация на груповите правила за BitLocker да бъдат задължени да въведат своя ключ за възстановяване на BitLocker при първото рестартиране след инсталиране на тази актуализация.
Този проблем засяга само ограничен брой системи, при които ВСИЧКИ от следните условия са изпълнени. Тези условия е малко вероятно да се срещнат на лични устройства, които не се управляват от ИТ отдели.
-
BitLocker е разрешен на устройството на операционната система.
-
Груповата политика "Конфигуриране на профил за проверка на платформата TPM за родни UEFI фърмуерни конфигурации" е конфигурирана и PCR7 е включен в профила за проверка (или еквивалентният ключ в системния регистър е зададен ръчно).
-
Системна информация (msinfo32.exe) съобщава състояние на защитено стартиране PCR7 обвързване като "Не е възможно".
-
Сертификатът windows UEFI CA 2023 присъства в базата данни за подписи за защитено стартиране (DB) на устройството, което прави устройството отговарящо на условията за диспечера за зареждане на Windows, подписан с 2023, да стане по подразбиране.
-
Устройството все още не използва диспечера за зареждане на Windows, подписан през 2023 г.
В този случай ключът за възстановяване на BitLocker трябва да бъде въведен само веднъж – следващите рестартирания няма да задействат екрана за възстановяване на BitLocker, стига конфигурацията на груповите правила да остане непроменена. За помощ при намирането на вашия ключ за възстановяване на BitLocker вижте статията Намиране на вашия ключ за възстановяване на BitLocker.
Препоръчва се предприятията да проверят своите групови правила за BitLocker за изрично включване на PCR7 и да проверят msinfo32.exe за състоянието на обвързване на PCR7 преди инсталиране на тази актуализация.
Решение
Работим върху решение и ще предоставим повече информация, когато е налична.
За временно заобикаляне на този проблем премахнете конфигурацията на груповите правила преди инсталиране на актуализацията (препоръчително)
-
Отворете редактора на групови правила (gpedit.msc) или конзолата за управление на групови правила.
-
Навигирайте до: Конфигурация на компютъра > Административни шаблони > Компоненти на Windows > Шифроване на устройства с BitLocker > Устройства на операционната система.
-
Задайте "Конфигуриране на профил за проверка на платформата TPM за родни UEFI фърмуерни конфигурации" на "Не е конфигуриран".
-
Изпълнете следната команда на засегнатите устройства, за да разпространите промяната на правилата: gpupdate /force
-
Изпълнете следната команда, за да преустановите BitLocker (където BitLocker е разрешен на устройството C:): manage-bde -protectors -disable C:
-
Изпълнете следната команда, за да възобновите BitLocker (където BitLocker е разрешен на устройството C:): manage-bde -protectors -enable C:
-
Това актуализира обвързванията на BitLocker, за да използва избрания от Windows профил на PCR по подразбиране.
-
Отнася се за: Windows 10 Enterprise LTSC 2021 и Windows 10 IoT Enterprise LTSC 2021
Важно: Използвайте EKB KB5003791, за да актуализирате до Windows 10, версия 21H2 на поддържаните издания.
Тази актуализация на защитата включва корекции и подобрения на качеството, които са част от следните актуализации:
По-долу е дадено резюме на проблемите, които тази актуализация обръща внимание, когато инсталирате тази актуализация. Ако има нови функции, в него са посочени и тях. Получер текст в скобите показва елемента или областта от промяната, която документираме.
-
[Предупреждения на защитата за отдалечен работен плот (известен проблем)] Коригирано: Диалоговият прозорец за предупреждение на защитата на връзката с отдалечен работен плот може да се рендира неправилно в конфигурации с няколко монитора с различни настройки за мащабиране на дисплея. Този проблем може да възникне след инсталирането на актуализацията на защитата на Windows, издадена на 14 април 2026 г. (KB5082200).
-
[Защитено стартиране]
-
Тази актуализация разрешава отчитане на динамично състояние за състоянието на състоянието на състоянието в Защита в Windows app.
-
С тази актуализация актуализациите на качеството на Windows включват допълнителни данни за насочване към устройства с висока достоверност, увеличаване на покритието на устройства, отговарящи на условията за автоматично получаване на нови сертификати за защитено стартиране. Устройствата получават новите сертификати само след като демонстрират достатъчно успешни сигнали за актуализация, поддържайки контролирано и поетапно внедряване.
-
-
[Лятно часово време] Актуализация за Арабска република Египет за подкрепа на реда за промяна на лятното и лятното време на правителството през 2023 г.
Ако сте инсталирали по-ранни актуализации, само новите актуализации, съдържащи се в този пакет, ще се изтеглят и инсталират на вашето устройство.
За повече информация относно уязвимостите на защитата вижте новия уеб сайт на справочника за актуализации на защитата и Актуализации на защитата от май 2026 г.
За информация относно терминологията на актуализацията на Windows вж. статията за типовете актуализации на Windows и месечните типове актуализации на качеството. За общ преглед на Windows 10, версия 22H2, вижте страницата хронология на актуализациите.
Известни проблеми в тази актуализация
-
Възможно е да се наложи устройства с неразрешена конфигурация на BitLocker групови правила, за да въведат своя ключ за възстановяване на BitLockerСимптоми
Възможно е някои устройства с непрепоръчителна конфигурация на груповите правила за BitLocker да бъдат задължени да въведат своя ключ за възстановяване на BitLocker при първото рестартиране след инсталиране на тази актуализация.
Този проблем засяга само ограничен брой системи, при които ВСИЧКИ от следните условия са изпълнени. Тези условия е малко вероятно да се срещнат на лични устройства, които не се управляват от ИТ отдели.
-
BitLocker е разрешен на устройството на операционната система.
-
Груповата политика "Конфигуриране на профил за проверка на платформата TPM за родни UEFI фърмуерни конфигурации" е конфигурирана и PCR7 е включен в профила за проверка (или еквивалентният ключ в системния регистър е зададен ръчно).
-
Системна информация (msinfo32.exe) съобщава състояние на защитено стартиране PCR7 обвързване като "Не е възможно".
-
Сертификатът windows UEFI CA 2023 присъства в базата данни за подписи за защитено стартиране (DB) на устройството, което прави устройството отговарящо на условията за диспечера за зареждане на Windows, подписан с 2023, да стане по подразбиране.
-
Устройството все още не използва диспечера за зареждане на Windows, подписан през 2023 г.
В този случай ключът за възстановяване на BitLocker трябва да бъде въведен само веднъж – следващите рестартирания няма да задействат екрана за възстановяване на BitLocker, стига конфигурацията на груповите правила да остане непроменена. За помощ при намирането на вашия ключ за възстановяване на BitLocker вижте статията Намиране на вашия ключ за възстановяване на BitLocker.
Препоръчва се предприятията да проверят своите групови правила за BitLocker за изрично включване на PCR7 и да проверят msinfo32.exe за състоянието на обвързване на PCR7 преди инсталиране на тази актуализация.
Решение
Работим върху решение и ще предоставим повече информация, когато е налична.
За временно заобикаляне на този проблем премахнете конфигурацията на груповите правила преди инсталиране на актуализацията (препоръчително)
-
Отворете редактора на групови правила (gpedit.msc) или конзолата за управление на групови правила.
-
Навигирайте до: Конфигурация на компютъра > Административни шаблони > Компоненти на Windows > Шифроване на устройства с BitLocker > Устройства на операционната система.
-
Задайте "Конфигуриране на профил за проверка на платформата TPM за родни UEFI фърмуерни конфигурации" на "Не е конфигуриран".
-
Изпълнете следната команда на засегнатите устройства, за да разпространите промяната на правилата: gpupdate /force
-
Изпълнете следната команда, за да преустановите BitLocker (където BitLocker е разрешен на устройството C:): manage-bde -protectors -disable C:
-
Изпълнете следната команда, за да възобновите BitLocker (където BitLocker е разрешен на устройството C:): manage-bde -protectors -enable C:
-
Това актуализира обвързванията на BitLocker, за да използва избрания от Windows профил на PCR по подразбиране.
-
групова актуализация на Windows 10 обслужване (KB5084130) – версия 19041.7183
Microsoft сега комбинира най-новата групова актуализация на услуги (SSU) за вашата операционна система с най-новата кумулативна актуализация (LCU). SSU подобрява надеждността на процеса на актуализация и включва корекции на групата услуги, компонента, който инсталира актуализациите на Windows.
Забележка: Тази групова актуализация на услуги (SSU) включва подобрена логика за проверка дали дадено устройство се хоства на Azure, като използва актуализирана верига от сертификати за проверка. За да се гарантира, че устройството може да получи достъп до необходимите домейни за актуализиране на сертификата за успешно изтегляне и инсталиране на актуализации на сертификати, вижте Изтегляне на сертификати и списъци на анулираните и Azure подробни данни за сертифициращия орган. За да научите повече за SSU, вижте Групови актуализации на услуги.
Как да изтеглите тази актуализация
Преди да инсталирате тази актуализация
Важно Трябва да имате инсталирана най-новата групова актуализация на услуги (SSU). Ако не инсталирате най-новата SSU, преди да приложите актуализации на Windows, актуализацията на Windows може да не се предлага, докато не се инсталира най-новата SSU.
Разполагане
Ако разположите тази актуализация, изберете една от следните въз основа на вашия сценарий на инсталиране:
За офлайн обслужване на изображения на ОС
-
Ако вашето изображение няма LSU от 25 юли 2023 г. (KB5028244) или по-нова версия, трябва да инсталирате специалната самостоятелна SSU от 13 октомври 2023 г. (KB5031539), преди да инсталирате тази актуализация.
За разполагане на услуги за актуализиране на Windows Server (WSUS) или при инсталиране на самостоятелния пакет от каталога на Microsoft Update
Изтегляне и инсталиране на тази актуализация
За да изтеглите и инсталирате тази актуализация, използвайте един от следните канали за издания на Windows и Microsoft.
|
Достъпен |
Следваща стъпка |
|
|
Тази актуализация ще се изтегли и инсталира автоматично от Windows Update. |
|
Достъпен |
Следваща стъпка |
|
|
Тази актуализация ще бъде изтеглена и инсталирана автоматично от актуализиране на Windows за бизнеса в съответствие с конфигурираните правила. |
|
Достъпен |
Следваща стъпка |
|
|
За да изтеглите самостоятелния пакет за тази актуализация, отидете на уеб сайта Каталог на Microsoft Update . За информация как да изтеглите и инсталирате актуализации от каталога за актуализации, вижте Как да изтеглите актуализации, които включват драйвери и горещи поправки от каталога на актуализиране на Windows. |
|
Достъпен |
Следваща стъпка |
|
|
Тази актуализация автоматично ще се синхронизира с Windows Server Update Services (WSUS), ако конфигурирате продукти и класификации, както следва:
За да настроите вашия WSUS сървър да се синхронизира въз основа на продукти и класификации, вижте Синхронизиране на Актуализация по продукти и класификация. За да импортирате ръчно актуализации в WSUS, вижте Импортиране на актуализации в WSUS с помощта на PowerShell. |
Информация за файлове
Списък на файловете, които са включени в тази актуализация, са предоставени във файл с csv (с разделители запетаи) (*.csv). Файлът може да се отвори в текстов редактор, като например Notepad или в Microsoft Excel.
Забележка: Версията на английски език (САЩ) на тази актуализация на софтуера може да съдържа файлове за допълнителни езици.
Свързана информация
Ако искате да премахнете тази актуализация
ВНИМАНИЕ Преди да решите да премахнете тази актуализация, вижте Разбиране на рисковете: Защо не трябва да деинсталирате актуализации на защитата.
За да премахнете LCU след инсталирането на комбинирания SSU и LCU пакет, използвайте опцията за команден ред DISM/Remove-Package с името на LCU пакета като аргумент. Можете да намерите името на пакета, като използвате тази команда: DISM /online /get-packages.
Изпълнението на самостоятелната програма за инсталиране на актуализиране на Windows (wusa.exe) с ключа /uninstall на комбинирания пакет няма да работи, тъй като комбинираният пакет съдържа SSU. Не можете да премахнете SSU от системата след инсталирането.
Бележка за актуализации на приложения на Microsoft Store
Актуализациите на Windows не инсталират актуализации на приложението Microsoft Store. Ако сте корпоративен потребител, вижте Приложения от Microsoft Store – Configuration Manager. Ако сте потребител, вижте Получаване на актуализации за приложения и игри в Microsoft Store.
Информация за край на поддръжката
Край на поддръжката на Windows 10, версии 21H2/22H2 и Windows 10 Enterprise LTSC 2021
Microsoft вече няма да предоставя безплатни актуализации на софтуера от Windows Update, техническа помощ или корекции на защитата на следните крайни дати:
♦ Windows 10, версия 21H2: Поддръжката приключи на 13 юни 2023 г.
♦ Windows 10, версия 22H2: Поддръжката приключи на 14 октомври 2025 г.
♦ Windows 10 Enterprise LTSC 2021: 12 януари 2027 г.
♦ Windows 10 IoT Enterprise LTSC 2021: 13 януари 2032 г.
Забележка: За да продължите да получавате критични и важни актуализации на защитата за Windows 10, вижте Актуализация за разширена защита (ESU) на Windows 10. В противен случай ви препоръчваме да надстроите до по-нова версия на Windows.
