14. dubna 2026 – KB5082063 (build operačního systému 26100.32690)
Platí pro
Datum vydání:
14.04.2026
Verze:
Build operačního systému 26100.32690
Tato kumulativní aktualizace pro Windows Server 2025 (KB5082063) obsahuje nejnovější opravy a vylepšení zabezpečení spolu s aktualizacemi netýkými se zabezpečením z volitelné verze Preview vydané minulý měsíc. Další informace o rozdílech mezi aktualizacemi zabezpečení, volitelnými aktualizacemi verze Preview nesouvisejí se zabezpečením, aktualizacemi mimo pásmo (OOB) a průběžnými inovacemi najdete v tématu Vysvětlení měsíčních aktualizací Windows. Informace o terminologii aktualizací systému Windows najdete v tématu Různé typy aktualizací softwaru Systému Windows.
Pokud chcete zobrazit nejnovější aktualizace o této verzi, navštivte řídicí panel stavu verzí Windows nebo stránku historie aktualizací pro Windows Server 2025.
Oznámení a zprávy
Tato část obsahuje klíčová oznámení související s touto verzí, včetně oznámení, protokolů změn a oznámení o ukončení podpory.
Vypršení platnosti certifikátu zabezpečeného spouštění systému Windows
Important: Certifikáty zabezpečeného spouštění používané většinou zařízení s Windows mají nastavenou platnost od června 2026. To může mít vliv na schopnost určitých osobních a firemních zařízení bezpečně se spouštět, pokud se neaktualizují včas. Pokud se chcete vyhnout přerušení služeb, doporučujeme projít si pokyny a podniknout kroky k aktualizaci certifikátů předem. Podrobnosti a přípravné kroky najdete v tématu Vypršení platnosti certifikátu zabezpečeného spouštění Windows a aktualizace certifikační autority a blogu playbooku Windows Server Secure playbook.
|
Změnit datum |
Změnit popis |
|
12. května 2026 |
Revize známého problému: Aktualizované alternativní řešení pro upozornění související se Vzdálenou plochou se nemusí správně zobrazit |
|
1. května 2026 |
Přidáno vylepšení: [Seznam blokovaných ovladačů se zabezpečením] |
|
úterý 27. dubna 2026 |
Aktualizace známého problému: Revize názvu známého problému Upozornění související se Vzdálenou plochou se nemusí správně zobrazit |
|
23. dubna. 2026 |
Byl přidán známý problém: Upozornění související se Vzdálenou plochou se nemusí správně zobrazit |
|
úterý 21. dubna 2026 |
Aktualizovaný známý problém: Zařízení s nedokazenou konfigurací nástroje BitLocker Zásady skupiny se může vyžadovat k zadání obnovovacího klíče nástroje BitLocker. |
|
úterý 20. dubna 2026 |
Známý problém "Instalace této aktualizace může selhat s chybou 0x800F0983 nebo 0x80073712" byl upraven kvůli objasnění. |
|
úterý 19. dubna 2026 |
|
|
úterý 17. dubna 2026 |
Známý problém s informacemi o tom, že po instalaci této aktualizace se řadiče domény můžou opakovaně restartovat, jsme aktualizovali kvůli objasnění. |
|
úterý 16. dubna 2026 |
Byl přidán známý problém: Řadiče domény se po instalaci této aktualizace můžou opakovaně restartovat. |
|
14. dubna 2026 |
Přidání známého problému: Zařízení s nedokazenou konfigurací nástroje BitLocker Zásady skupiny se můžou vyžadovat k zadání obnovovacího klíče nástroje BitLocker. |
Vylepšení
Tato aktualizace zabezpečení obsahuje opravy a vylepšení kvality zKB5078740 (vydané 10. března 2026). Následující souhrn popisuje klíčové problémy, které tato aktualizace řeší. K dispozici jsou také nové funkce. Tučný text v hranatých závorkách označuje položku nebo oblast změny.
-
[Zabezpečené spouštění]
-
Díky této aktualizaci zahrnují aktualizace pro zvýšení kvality Windows další vysoce důvěrná data pro cílení na zařízení, což zvyšuje pokrytí zařízení, která mají nárok na automatické přijímání nových certifikátů zabezpečeného spouštění. Zařízení obdrží nové certifikáty až po prokázání dostatečného množství úspěšných aktualizačních signálů a udržování řízeného a postupného zavádění.
-
Tato aktualizace řeší problém, kdy zařízení může po aktualizacích zabezpečeného spouštění přejít na obnovení nástroje BitLocker.
-
-
[Protokol Kerberos] Tato aktualizace změní výchozí hodnotu DefaultDomainSupportedEncTypes pro operace KDC (Key Distribution Center) protokolu Kerberos tak, aby využívala AES-SHA1 pro účty, které nemají definovaný explicitní atribut služby Active Directory msds-SupportedEncryptionTypes. Další informace najdete v tématu Správa využití KDC protokolu Kerberos rc4 pro změny vystavení lístku lístku účtu služby související s CVE-2026-20833.
-
[Ověřování] Tato aktualizace zlepšuje způsob, jakým systém Windows používá zásady šifrování Kerberos během ověřování. Po instalaci této aktualizace systém Windows přečte nakonfigurovaná nastavení zásad podle očekávání, což pomáhá zajistit konzistentní použití chování šifrování v celé doméně.
-
[Bluetooth] Tato aktualizace zlepšuje správu zařízení Bluetooth v nastaveních a rychlých nastaveních, pomáhá konzistentně zobrazovat připojená zařízení a usnadňuje jejich přidávání a správu.
-
[Grafika] Tato aktualizace zlepšuje vykreslování barev při tisku z desktopových aplikací Win32.
-
[Sítě] Tato aktualizace zlepšuje spolehlivost, když Systém Windows používá kompresi SMB přes QUIC. Po instalaci této aktualizace se požadavky na kompresi SMB přes QUIC konzistentněji dokončí, což snižuje pravděpodobnost vypršení časových limitů a podporuje plynulejší a spolehlivější výkon.
-
[PowerShell] Tato aktualizace zlepšuje způsob, jakým rutina Set-GPPrefRegistryValue v PowerShellu importuje hodnoty předvoleb registru. Rutina teď zachovává každou importovanou hodnotu v plném rozsahu, včetně posledního znaku.
-
[Vzdálená plocha] Tato aktualizace zlepšuje ochranu před útoky phishing, které používají soubory Vzdálené plochy (.rdp). Když otevřete soubor .rdp, zobrazí Vzdálená plocha před připojením všechna požadovaná nastavení připojení, přičemž každé nastavení je ve výchozím nastavení vypnuté. Jednorázové upozornění zabezpečení se zobrazí také při prvním otevření souboru .rdp na zařízení. Další informace najdete v tématu Vysvětlení upozornění zabezpečení při otevírání souborů Vzdálené plochy (RDP).
-
[Texty a písma] Tato aktualizace vylepšuje písma systému Windows přidáním nového symbolu měny Saudi Riyal. Tato změna pomáhá udržovat text jasný, přesný a vizuálně konzistentní v aplikacích a prostředích pro Windows.
-
[Seznam blokovaných ohrožených ovladačů] Tato aktualizace zavádí změnu posílení zabezpečení, která přidává známé ohrožené ovladače jádra do seznamu blokovaných ovladačů ohrožených microsoftem. Zálohovací aplikace, které spoléhají na blokované ovladače, můžou při pokusu o připojení nebo správu imagí disků docházet k chybám.
Tyto aplikace, které se spoléhají na blokované ovladače, můžou zobrazovat chybové zprávy, například "Zálohování selhalo, protože při vytváření snímku vypršel časový limit služby Microsoft VSS" nebo VSS_E_BAD_STATE. Ovlivnění uživatelé by měli aktualizovat na novější verzi své aplikace, která používá novější ovladače, které zahrnují požadovanou ochranu. Další informace najdete v článku Aktualizace zabezpečení Systému Windows z dubna 2026 zavádí ochranu známých ohrožených ovladačů jádra.
-
[Služba pro nasazení systému Windows (WDS)] Tato aktualizace ve výchozím nastavení zakáže funkci nasazení hands-free ve službě WDS a už není podporovaná. Další informace o této změně najdete v tématu Služba pro nasazení systému Windows (WDS) Hands-Free Pokyny k posílení zabezpečení nasazení související s CVE-2026-0386.
Pokud jste už nainstalovali předchozí aktualizace, vaše zařízení stáhne a nainstaluje jenom nové aktualizace, které jsou součástí tohoto balíčku.
Další informace o chybách zabezpečení najdete v průvodci aktualizacemi zabezpečení a v Aktualizace zabezpečení z dubna 2026.
servisní aktualizace sady Windows Server 2025 (KB5082062) – 26100.32692
Tato aktualizace obsahuje vylepšení kvality pro servisní balík Servicing Stack, což je součást, která instaluje aktualizace systému Windows. Servisní aktualizace SSU (SSU) zajišťují, že máte robustní a spolehlivý servisní zásobník, aby vaše zařízení mohly přijímat a instalovat aktualizace Microsoftu. Další informace o servisních aktualizacích SSU najdete v tématu Zjednodušení místního nasazení servisních aktualizací zásobníku.
Známé problémy v této aktualizaci
Příznak
U malého počtu zařízení se nemusí podařit nainstalovat tuto aktualizaci s některou z následujících chybových zpráv:
-
Chyba instalace – 0x800F0983
-
"Některé soubory aktualizací chybí nebo mají problémy. Zkusíme aktualizaci stáhnout znovu později. Kód chyby: (0x80073712)"
Řešení
Tento problém řeší KB5091157 aktualizací mimo pásmo.
Poznámka: Zařízení zaregistrovaná za chodu Windows Server 2025, kterých se tento problém týká, můžou nainstalovat KB5091157s aktualizacemi mimo pásmo a získat stejnou ochranu jako dubnová aktualizace zabezpečení (KB5082063). Instalace KB5091157 ale vyžaduje restartování a pozastaví se operace hotpatching. Aktualizace hotpatch budou pokračovat po aktualizaci směrného plánu z července 2026.
Příznak
Po instalaci této aktualizace a restartování řadičů domény (DC) v prostředích s více doménami v doménové struktuře, která používají Privileged Access Management (PAM), může během spouštění docházet k chybám LSASS. V důsledku toho se ovlivněné řadiče domény můžou opakovaně restartovat, bránit fungování ověřovacích a adresářových služeb a potenciálně způsobit nedostupnost domény.
Řešení
Tento problém řeší KB5091157 aktualizací mimo pásmo.
Poznámka: Pokud je vaše zařízení Windows Server 2025 zaregistrované ve funkci hotpatching, měli byste místo toho nainstalovat KB5091470 aktualizace OOB hotpatch. Tato aktualizace OOB za chodu je vydaná prostřednictvím služba Windows Update a nevyžaduje restartování zařízení.
Příznak
Na některých zařízeních s nedoporučenou konfigurací zásad skupiny pro BitLocker může být při prvním restartování po instalaci této aktualizace potřeba zadat obnovovací klíč BitLockeru.
Tento problém se týká pouze omezeného počtu systémů, ve kterých platí všechny následující podmínky. Tyto podmínky se pravděpodobně nevyskytnou na osobních zařízeních, která nespravují IT oddělení.
-
Na jednotce operačního systému je povolený BitLocker.
-
Zásada skupiny „Konfigurovat profil ověřování platformy TPM pro nativní konfigurace firmwaru UEFI“ je nakonfigurovaná a profil ověřování zahrnuje PCR7 (nebo je ručně nastavený ekvivalentní klíč registru).
-
Systémové informace (msinfo32.exe) u položky Vazba PCR7 ve stavu zabezpečeného spouštění hlásí hodnotu „Není možné“.
-
V databázi podpisů zabezpečeného spouštění (DB) zařízení je certifikát Windows UEFI CA 2023, takže zařízení splňuje podmínky pro nastavení Správce spouštění Windows podepsaného v roce 2023 jako výchozího.
-
Zařízení ještě nepoužívá Správce spouštění Windows podepsaný v roce 2023.
V tomto scénáři stačí obnovovací klíč BitLockeru zadat jen jednou. Další restartování nespustí obrazovku pro obnovení BitLockeru, pokud konfigurace zásad skupiny zůstane beze změny. Nápovědu k vyhledání obnovovacího klíče nástroje BitLocker najdete v článku Vyhledání obnovovacího klíče nástroje BitLocker.
Podnikům doporučujeme, aby před instalací této aktualizace zkontrolovaly svoje zásady skupiny pro BitLocker kvůli explicitnímu zahrnutí PCR7 a ověřily stav vazby PCR7 v nástroji msinfo32.exe. (Podívejte se na následující alternativní řešení.)
Alternativní řešení
Před instalací aktualizace odeberte konfiguraci Zásady skupiny (doporučeno)
-
Otevřete Editor zásad skupiny (gpedit.msc) nebo Konzolu pro správu zásad skupiny.
-
Přejděte sem: Konfigurace počítače > Šablony pro správu > Součásti systému Windows > Šifrování jednotky BitLocker > Jednotky operačního systému.
-
Nastavte „Konfigurovat profil ověřování platformy TPM pro nativní konfigurace firmwaru UEFI“ na „Nenakonfigurováno“.
-
Na ovlivněných zařízeních spusťte následující příkaz, aby se změna zásad promítla: gpupdate /force
-
Spuštěním následujícího příkazu pozastavte BitLocker (pokud je BitLocker povolený na jednotce C:): manage-bde -protectors -disable C:
-
Spuštěním následujícího příkazu znovu zapněte ochranu BitLockerem (pokud je BitLocker povolený na jednotce C:): manage-bde -protectors -enable C:
-
Tím se vazby BitLockeru aktualizují tak, aby používaly výchozí profil PCR vybraný Windows.
Trvalé řešení tohoto problému se plánuje v budoucí aktualizaci systému Windows. Další informace budou k dispozici, jakmile budou k dispozici.
Služby Windows Server Update Services (WSUS) po instalaci aktualizace KB5070881 nebo novějších aktualizací nezobrazují podrobnosti o chybách synchronizace v rámci zasílání zpráv o chybách. Tato funkce je dočasně odebrána, aby se vyřešilo ohrožení zabezpečení související se vzdáleným spuštěním kódu CVE-2025-59287.
Příznaky
Po instalaci této aktualizace se v některých případech nemusí správně zobrazit upozornění zabezpečení, které se zobrazí při otevírání souborů Vzdálené plochy (RDP).
K tomuto problému může dojít, když používáte více monitorů s různými nastaveními měřítka zobrazení (například jeden monitor nastavený na 100 % a jiný na 125 %). Když k tomu dojde, může se v okně upozornění zobrazit překrývající se text nebo částečně skrytá tlačítka, což může ztěžovat čtení zprávy nebo interakci s ní.
Alternativní řešení
Tento problém řeší KB5087539.
Jak získat tuto aktualizaci
Před instalací této aktualizace
Společnost Microsoft kombinuje nejnovější servisní aktualizaci SSU pro váš operační systém s nejnovější kumulativní aktualizací (LCU). Obecné informace o servisních aktualizacích SSU najdete v tématu Servisní aktualizace zásobníku.
Instalace této aktualizace
Chcete-li nainstalovat tuto aktualizaci, použijte jeden z následujících kanálů pro windows a microsoft.
|
Je dostupný |
Další krok: |
|
|
|
Tato aktualizace se automaticky stáhne a nainstaluje ze služby služba Windows Update a Microsoft Update. |
|
Je dostupný |
Další krok: |
|
|
Tato aktualizace se automaticky stáhne a nainstaluje z služba Windows Update pro firmy v souladu s nakonfigurovanými zásadami. |
|
Je dostupný |
Další krok: |
|||||
|
|
Chcete-li nainstalovat tuto verzi z Katalogu služby Microsoft Update, postupujte podle těchto pokynů:Před instalací této aktualizace jsou samostatné balíčky pro tuto aktualizaci k dispozici na webu Katalog služby Microsoft Update . Tato znalostní báze obsahuje jeden nebo více souborů MSU, které vyžadují instalaci v určitém pořadí. Tuto aktualizaci můžete nainstalovat pomocí metody 1 (nainstalujte všechny soubory MSU společně) nebo metody 2 (nainstalujte každý soubor MSU jednotlivě v daném pořadí). Metoda 1: Nainstalujte všechny soubory MSU společně Stáhněte si všechny soubory MSU pro KB5082063 z Katalogu služby Microsoft Update a umístěte je do stejné složky (například C:/Packages). Pomocí nástroje Deployment Image Servicing and Management (DISM.exe) nainstalujte cílovou aktualizaci. Nástroj DISM použije složku zadanou v packagePath ke zjištění a instalaci jednoho nebo více požadovaných souborů MSU podle potřeby. Aktualizace počítače s Windows Chcete-li nainstalovat tuto aktualizaci na počítač se systémem Windows, spusťte následující příkaz z příkazového řádku se zvýšenými oprávněními:
Nebo na příkazovém řádku Windows PowerShell se zvýšenými oprávněními spusťte následující příkaz:
Nebo k instalaci cílové aktualizace použijte služba Windows Update samostatný instalační program. Aktualizace instalačního média systému Windows Chcete-li nainstalovat tuto aktualizaci na instalační médium systému Windows, přečtěte si téma Aktualizace instalačního média systému Windows pomocí dynamické aktualizace. Poznámka: Při stahování dalších balíčků dynamických aktualizací se ujistěte, že odpovídají stejnému měsíci jako tato znalostní báze. Pokud dynamická aktualizace safeOS nebo dynamická aktualizace instalace není k dispozici pro stejný měsíc jako tato znalostní báze, použijte naposledy publikovanou verzi každého z nich. Chcete-li přidat tuto aktualizaci do připojené image, spusťte následující příkaz z příkazového řádku se zvýšenými oprávněními:
Nebo na příkazovém řádku Windows PowerShell se zvýšenými oprávněními spusťte následující příkaz:
Metoda 2: Nainstalujte každý soubor MSU jednotlivě v pořadí Stáhněte a nainstalujte každý soubor MSU jednotlivě pomocí dism nebo služba Windows Update samostatného instalačního programu v následujícím pořadí:
|
|
K dispozici |
Další krok: |
|
|
Tato aktualizace se automaticky synchronizuje se službou Windows Server Update Services (WSUS), pokud nakonfigurujete produkty a klasifikace následujícím způsobem: Produkt: Operační systém Microsoft Server-24H2 Klasifikace: Aktualizace zabezpečení |
Pokud chcete tuto aktualizaci odebrat
Pozor: Než se rozhodnete tuto aktualizaci odebrat, přečtěte si téma Vysvětlení rizik: Proč byste neměli odinstalovat aktualizace zabezpečení.
Pokud chcete odebrat kumulativní aktualizaci LCU po instalaci kombinovaného balíčku SSU a LCU, použijte možnost příkazového řádku DISM/Remove-Package s názvem balíčku LCU jako argumentem. Název balíčku můžete najít pomocí tohoto příkazu: DISM /online /get-packages.
Spuštění služba Windows Update samostatného instalačního programu (wusa.exe) s přepínačem /uninstall v kombinovaném balíčku nebude fungovat, protože kombinovaný balíček obsahuje SSU. Po instalaci nelze odebrat SSU ze systému.
Informace o souborech
Pokud chcete získat seznam souborů poskytovaných v rámci této aktualizace, stáhněte si informace o souborech pro 5082063 kumulativní aktualizace.
Pokud chcete získat seznam souborů poskytovaných v servisní aktualizaci zásobníku, stáhněte si informace o souborech pro SSU (KB5082062) verze 26100.32692.
Potřebujete další pomoc?
Chcete další možnosti?
Prozkoumejte výhody předplatného, projděte si školicí kurzy, zjistěte, jak zabezpečit své zařízení a mnohem více.
Komunity vám pomohou klást otázky a odpovídat na ně, poskytovat zpětnou vazbu a vyslechnout odborníky s bohatými znalostmi.
