Тази актуализация извън групата (OOB) за Windows Server 2025 (KB5091157) е кумулативна актуализация, която не е базирана на защитата.
Подобрения
Тази извънкласна актуализация съдържа подобрения на качеството от KB5082063 (издадена на 14 април 2026 г.). В следното резюме са описани основните проблеми, разрешени от тази извънредена актуализация. Получер текст в скобите показва елемента или областта на промяната.
-
[Домейнови контролери (известен проблем)] Коригирано: След инсталирането на актуализацията на защитата (KB5082063) на Windows от 14 април 2026 г. и рестартирането домейновите контролери с гори с множество домейни, които използват privileged Access Management (PAM), може да изпитат проблеми при стартиране. В някои случаи Local Security Authority Subsystem Service (LSASS) може да спре да отговаря, което да доведе до повтарящи се рестартирания и да попречи на удостоверяването и справочни услуги, което може да направи домейна недостъпен.
-
[Инсталиране на Windows Update] Коригирано: Малък брой устройства с Windows Server 2025 може да не успеят да инсталират актуализацията на защитата на Windows (KB5082063) от 14 април 2026 г. Когато възникне този проблем, засегнатите устройства може да показват едно от следните съобщения за грешка: "Грешка при инсталиране: 0x800F0983" или "Някои файлове за актуализиране липсват или имат проблеми. Ще се опитаме да изтеглим актуализацията отново по-късно. Код на грешка: 0x80073712".
Ако сте инсталирали по-ранни актуализации, вашето устройство изтегля и инсталира само новите актуализации, съдържащи се в този пакет.
Забележка Устройства с Hotpatch, записани за актуализация Windows Server 2025, засегнати от проблема с инсталирането на KB5082063, могат да инсталират тази OOB актуализация за същите защити. Това обаче ще изисква рестартиране и актуализациите за hotpatch няма да се възобновят до актуализацията на базовата линия от юли 2026 г.
Групова актуализация на услуги на Windows Sever 2025 (KB5082062) – 26100.32692
Тази актуализация прави подобрения на качеството в групата на услуги, който е компонентът, който инсталира актуализациите на Windows. Груповите актуализации на услуги (SSU) гарантират, че имате стабилен и надежден набор от услуги, така че вашите устройства да могат да получават и инсталират актуализации на Microsoft. За да научите повече за SSU, вижте Опростяване на локалното разполагане на групови актуализации на услуги.
Известни проблеми в тази актуализация
Симптом
Възможно е да се наложи някои устройства с неразрешена конфигурация на BitLocker групови правила да въведат своя ключ за възстановяване на BitLocker при първото рестартиране след инсталиране на тази актуализация.
Този проблем засяга само ограничен брой системи, в които всички от следните условия са изпълнени. Възможно е тези условия да бъдат открити на лични устройства, които не се управляват от ИТ отдели.
-
BitLocker е разрешен на устройството на операционната система.
-
Конфигуриран е групови правила "Конфигуриране на профил за проверка на платформата на TPM за основни конфигурации на UEFI фърмуер" и PCR7 е включен в профила за проверка (или еквивалентният ключ от системния регистър се задава ръчно).
-
Системна информация (msinfo32.exe) съобщава състояние на защитено стартиране PCR7 обвързване като "Не е възможно".
-
Сертификатът windows UEFI CA 2023 присъства в базата данни за подписи за защитено стартиране (DB) на устройството, което прави устройството отговарящо на условията за диспечера за зареждане на Windows, подписан с 2023, да стане по подразбиране.
-
Устройството все още не работи с диспечера за зареждане на Windows, подписан с 2023.
В този случай ключът за възстановяване на BitLocker трябва да бъде въведен само веднъж – следващите рестартирания няма да задействат екрана за възстановяване на BitLocker, стига конфигурацията на груповите правила да остане непроменена. За помощ при намирането на вашия ключ за възстановяване на BitLocker вж. статията Намиране на вашия ключ за възстановяване на BitLocker.
На предприятията се препоръчва да проверяват своите групови правила на BitLocker за изрично включване на PCR7 и да проверяват msinfo32.exe за състоянието на обвързване на PCR7, преди да инсталират тази актуализация. (Вижте опция 1 по-долу.)
Заобиколно решение
Опция 1: Премахнете конфигурацията на групови правила, преди да инсталирате актуализацията (препоръчва се)
-
Отворете редактора на групови правила (gpedit.msc) или конзолата за управление на групови правила.
-
Отидете на: Конфигурация на компютъра > Административни шаблони > компоненти на Windows > шифроване на устройства с BitLocker > устройствата на операционната система.
-
Задайте "Конфигуриране на TPM профил за проверка на платформа за местни UEFI фърмуерни конфигурации" на "Не е конфигуриран".
-
Изпълнете следната команда на засегнатите устройства, за да разпространите промяната на правилата: gpupdate /force
-
Изпълнете следната команда, за да преустановите BitLocker (където BitLocker е разрешен на устройството C:): manage-bde -protectors -disable C:
-
Изпълнете следната команда, за да възобновите BitLocker (където BitLocker е разрешен на устройството C:): manage-bde -protectors -enable C:
-
Това актуализира обвързванията на BitLocker, за да използва избрания от Windows профил на PCR по подразбиране.
Опция 2: Приложете връщане към стабилно състояние на известен проблем (KIR), преди да инсталирате актуализацията
Известно връщане към стабилно състояние на проблема (KIR) е налично за клиенти, които не могат да премахнат груповите правила на PCR7, преди да разположат тази актуализация. KIR предотвратява автоматично превключване към диспечера за зареждане 2023, като избягва превключвателя за възстановяване на BitLocker. KIR трябва да се разположи, преди да инсталирате актуализацията на засегнатите устройства. Свържете се с поддръжката на Microsoft за бизнеса, за да получите този KIR.
Постоянно решение на този проблем е планирано в бъдеща актуализация на Windows. Допълнителна информация ще бъде предоставена, когато е налична.
След инсталирането на KB5070881 или по-нови актуализации, Windows Server Update Services (WSUS) не показва подробни данни за грешката при синхронизиране в своя отчет за грешки. Тази функционалност е временно премахната, за да се обърне внимание на уязвимостта при отдалечено изпълнение на код CVE-2025-59287.
Как да изтеглите тази актуализация
Преди да инсталирате тази актуализация
Microsoft сега комбинира най-новата групова актуализация на услуги (SSU) за вашата операционна система с най-новата кумулативна актуализация (LCU). За обща информация относно SSU вижте Групови актуализации на услуги.
Инсталиране на тази актуализация
За да инсталирате тази актуализация, използвайте един от следните канали за издания на Windows и Microsoft.
|
Достъпен |
Следваща стъпка |
|
|
Вижте другите опции. |
|
Достъпен |
Следваща стъпка |
|
|
Вижте другите опции. |
|
Достъпен |
Следваща стъпка |
|||||
|
|
За да инсталирате това издание от каталога на Microsoft Update, следвайте тези инструкции: Преди да инсталирате тази актуализация, самостоятелните пакети за тази актуализация отидете на уеб сайта Каталог на Microsoft Update. Тази KB съдържа един или повече MSU файлове, които изискват инсталиране в определен ред. Можете да инсталирате тази актуализация, като използвате метод 1 (инсталирайте всички MSU файлове заедно) или метод 2 (инсталирайте всеки MSU файл поотделно, поред). Метод 1: Инсталиране на всички MSU файлове заедно Изтеглете всички MSU файлове за KB5091157 от каталога на Microsoft Update и ги поставете в същата папка (например C:/Packages). Използвайте Deployment Image Servicing and Management (DISM.exe), за да инсталирате целевата актуализация. DISM ще използва папката, указана в PackagePath , за да открие и инсталира един или повече предварителни MSU файлове, ако е необходимо. Актуализиране на компютър с Windows За да приложите тази актуализация към работещ компютър с Windows, изпълнете следната команда от команден прозорец с администраторски права:
Или изпълнете следната команда от администраторски Windows PowerShell подкана:
Или използвайте самостоятелната програма за инсталиране на актуализиране на Windows, за да инсталирате целевата актуализация. Актуализиране на инсталационен носител на Windows За да приложите тази актуализация към инсталационен носител на Windows, вижте Актуализиране на инсталационен носител на Windows с динамична актуализация. Забележка: Когато изтегляте други пакети за динамична актуализация, уверете се, че те съвпадат със същия месец като тази КБ. Ако динамичната актуализация на SafeOS или динамичната актуализация на настройката не е налична за същия месец като тази KB, използвайте най-скоро публикуваната версия на всяка. За да добавите тази актуализация към монтирано изображение, изпълнете следната команда от команден прозорец с администраторски права:
Или изпълнете следната команда от администраторски Windows PowerShell подкана:
Метод 2: Инсталирайте всеки MSU файл поотделно, поред Изтеглете и инсталирайте всеки MSU файл поотделно, като използвате DISM или актуализиране на Windows самостоятелна програма за инсталиране в следния ред:
|
|
Достъпен |
Следваща стъпка |
|
|
Вижте другите опции. |
Ако искате да премахнете тази актуализация
Внимание! Преди да решите да премахнете тази актуализация, вижте Разбиране на рисковете: Защо не трябва да деинсталирате актуализации на защитата.
За да премахнете тази актуализация след инсталирането на комбинирания SSU и LCU пакет, използвайте опцията за команден ред DISM/Remove-Package с името на LCU пакета като аргумент. Можете да намерите името на пакета, като използвате тази команда: DISM /online /get-packages.
Изпълнението на самостоятелната програма за инсталиране на актуализиране на Windows (wusa.exe) с ключа /uninstall на комбинирания пакет няма да работи, тъй като комбинираният пакет съдържа SSU. Не можете да премахнете SSU от системата след инсталирането.
Информация за файлове
За списък на предоставените с тази актуализация файлове, изтеглете информация за файлове за несвързана актуализация 5091157.
За списък на файловете, предоставени в груповата актуализация на услуги, изтеглете информация за файлове за SSU (KB5082062) – версия 26100.32692.
