Platí pro
Windows Server 2022

Datum vydání:

14.04.2026

Verze:

Build operačního systému 20348.5020

Tato kumulativní aktualizace pro Windows Server 2022 (KB5082142) obsahuje nejnovější opravy a vylepšení zabezpečení spolu s aktualizacemi netýkými se zabezpečením z volitelné verze Preview vydané minulý měsíc. Další informace o rozdílech mezi aktualizacemi zabezpečení, volitelnými aktualizacemi verze Preview nesouvisejí se zabezpečením, aktualizacemi mimo pásmo (OOB) a průběžnými inovacemi najdete v tématu Vysvětlení měsíčních aktualizací Windows. Informace o terminologii aktualizací systému Windows najdete v tématu Různé typy aktualizací softwaru Systému Windows.

Pokud chcete zobrazit nejnovější aktualizace o této verzi, navštivte řídicí panel stavu verzí Windows nebo stránku historie aktualizací pro Windows Server 2022.

Oznámení a zprávy

Tato část obsahuje klíčová oznámení související s touto verzí, včetně oznámení, protokolů změn a oznámení o ukončení podpory. 

Vypršení platnosti certifikátu zabezpečeného spouštění systému Windows

Důležité: Platnost certifikátů zabezpečeného spouštění používaných většinou zařízení s Windows vyprší od června 2026. To může mít vliv na schopnost určitých osobních a firemních zařízení bezpečně se spouštět, pokud se neaktualizují včas. Pokud se chcete vyhnout přerušení služeb, doporučujeme projít si pokyny a podniknout kroky k aktualizaci certifikátů předem. Podrobnosti a přípravné kroky najdete v tématu Vypršení platnosti certifikátu zabezpečeného spouštění systému Windows a aktualizace certifikační autority.

Změnit datum

Změnit popis

7. května 2026

Přidání řešení známého problému "Upozornění související se vzdálenou plochou se nemusí zobrazit správně".

1. května 2026

  • Přidáno vylepšení: [Seznam blokovaných ovladačů se zabezpečením]

úterý 27. dubna 2026

Opravili jsme známý problém s upozorněními souvisejícími se vzdálenou plochou, která se nemusí zobrazovat správně.

úterý 23. dubna 2026

Přidali jsme známé problémy: Upozornění související se Vzdálenou plochou se nemusí zobrazit správně.

úterý 21. dubna 2026

Aktualizovaný známý problém: Zařízení s nedokazenou konfigurací nástroje BitLocker Zásady skupiny se může vyžadovat k zadání obnovovacího klíče nástroje BitLocker.

úterý 19. dubna 2026

Přidali jsme řešení známého problému Řadiče domény se po instalaci této aktualizace můžou opakovaně restartovat.

úterý 17. dubna 2025

Známý problém s informacemi o tom, že po instalaci této aktualizace se řadiče domény můžou opakovaně restartovat, jsme aktualizovali kvůli objasnění.

úterý 16. dubna 2026

Byl přidán známý problém: Řadiče domény se po instalaci této aktualizace můžou opakovaně restartovat.

14. dubna 2026

Přidání známého problému: Zařízení s nedokazenou konfigurací nástroje BitLocker Zásady skupiny se můžou vyžadovat k zadání obnovovacího klíče nástroje BitLocker.

Vylepšení

Tato aktualizace zabezpečení obsahuje opravy a vylepšení kvality z KB5078766(vydané 10. března 2026). Následující souhrn popisuje klíčové problémy, které tato aktualizace řeší. K dispozici jsou také nové funkce. Tučný text v hranatých závorkách označuje položku nebo oblast změny.

  • [Připojení] Tato aktualizace zlepšuje spolehlivost zvukových funkcí ve Windows a pomáhá omezit nereagování systému související se zvukem nebo zvukovou aktivitou.

  • [Jádro]Tato aktualizace zlepšuje stabilitu systému při operacích s velkými soubory. Uživatelé by při práci s velkými soubory nebo při jejich přenosu měli zaznamenat méně neočekávaných přerušení.

  • [Protokol Kerberos] Tato aktualizace změní výchozí hodnotu DefaultDomainSupportedEncTypes pro operace KDC (Key Distribution Center) protokolu Kerberos tak, aby využívala AES-SHA1 pro účty, které nemají definovaný explicitní atribut služby Active Directory msds-SupportedEncryptionTypes. Další informace najdete v tématu Správa využití KDC protokolu Kerberos rc4 pro změny vystavení lístku lístku účtu služby související s CVE-2026-20833.

  • [Sítě] Tato aktualizace zlepšuje spolehlivost, když Systém Windows používá kompresi SMB přes QUIC. Po instalaci této aktualizace se požadavky na kompresi SMB přes QUIC konzistentněji dokončí, což snižuje pravděpodobnost vypršení časových limitů a podporuje plynulejší a spolehlivější výkon.

  • [Vzdálená plocha] Tato aktualizace zlepšuje ochranu před útoky phishing, které používají soubory Vzdálené plochy (.rdp). Když otevřete soubor .rdp, zobrazí Vzdálená plocha před připojením všechna požadovaná nastavení připojení, přičemž každé nastavení je ve výchozím nastavení vypnuté. Jednorázové upozornění zabezpečení se zobrazí také při prvním otevření souboru .rdp na zařízení. Další informace najdete v tématu Vysvětlení upozornění zabezpečení při otevírání souborů Vzdálené plochy (RDP). 

  • [Zabezpečené spouštění] 

    • Díky této aktualizaci zahrnují aktualizace pro zvýšení kvality Windows další vysoce důvěrná data pro cílení na zařízení, což zvyšuje pokrytí zařízení, která mají nárok na automatické přijímání nových certifikátů zabezpečeného spouštění. Zařízení obdrží nové certifikáty až po prokázání dostatečného množství úspěšných aktualizačních signálů a udržování řízeného a postupného zavádění.

    • Tato aktualizace řeší problém, kdy zařízení může po aktualizacích zabezpečeného spouštění přejít na obnovení nástroje BitLocker.

  • [Texty a písma] Tato aktualizace vylepšuje písma systému Windows přidáním nového symbolu měny Saudi Riyal. Tato změna pomáhá udržovat text jasný, přesný a vizuálně konzistentní v aplikacích a prostředích pro Windows.

  • [Seznam blokovaných ohrožených ovladačů] Tato aktualizace zavádí změnu posílení zabezpečení, která přidává známé ohrožené ovladače jádra do seznamu blokovaných ovladačů ohrožených microsoftem. Zálohovací aplikace, které spoléhají na blokované ovladače, můžou při pokusu o připojení nebo správu imagí disků docházet k chybám.  

    Tyto aplikace, které se spoléhají na blokované ovladače, můžou zobrazovat chybové zprávy, například "Zálohování selhalo, protože při vytváření snímku vypršel časový limit služby Microsoft VSS" nebo VSS_E_BAD_STATE. Ovlivnění uživatelé by měli aktualizovat na novější verzi své aplikace, která používá novější ovladače, které zahrnují požadovanou ochranu. Další informace najdete v článku Aktualizace zabezpečení Systému Windows z dubna 2026 zavádí ochranu známých ohrožených ovladačů jádra.

  • [Služba pro nasazení systému Windows (WDS)] Tato aktualizace ve výchozím nastavení zakáže funkci nasazení hands-free ve službě WDS a už není podporovaná. Další informace o této změně najdete v tématu Služba pro nasazení systému Windows (WDS) Hands-Free Pokyny k posílení zabezpečení nasazení související s CVE-2026-0386.

Pokud jste už nainstalovali předchozí aktualizace, vaše zařízení stáhne a nainstaluje jenom nové aktualizace, které jsou součástí tohoto balíčku.

Další informace o chybách zabezpečení najdete v průvodci aktualizacemi zabezpečení a v Aktualizace zabezpečení z dubna 2026.

servisní aktualizace sady Windows Server 2022 (KB5082137) –20348.5021

Tato aktualizace obsahuje vylepšení kvality pro servisní balík Servicing Stack, což je součást, která instaluje aktualizace systému Windows. Servisní aktualizace SSU (SSU) zajišťují, že máte robustní a spolehlivý servisní zásobník, aby vaše zařízení mohly přijímat a instalovat aktualizace Microsoftu. Další informace o servisních aktualizacích SSU najdete v tématu Zjednodušení místního nasazení servisních aktualizací zásobníku.

Známé problémy v této aktualizaci

Příznak

Po instalaci této aktualizace může u řadičů domény v prostředích s více doménami v doménové struktuře, které používají Privileged Access Management (PAM), docházet k chybám LSASS během spouštění. V důsledku toho se ovlivněné řadiče domény můžou opakovaně restartovat, bránit fungování ověřovacích a adresářových služeb a potenciálně způsobit nedostupnost domény.

Řešení

Tento problém je vyřešený v KB5091575 aktualizací mimo pásmo.

Poznámka: Pokud je vaše zařízení Windows Server 2022 zaregistrované ve funkci hotpatching, měli byste místo toho nainstalovat KB5091576 aktualizace OOB hotpatch. Tato aktualizace OOB za chodu je vydaná prostřednictvím služba Windows Update a nevyžaduje restartování zařízení.

Příznak

Na některých zařízeních s nedoporučenou konfigurací zásad skupiny pro BitLocker může být při prvním restartování po instalaci této aktualizace potřeba zadat obnovovací klíč BitLockeru.

Tento problém se týká pouze omezeného počtu systémů, ve kterých platí všechny následující podmínky. Tyto podmínky se pravděpodobně nevyskytnou na osobních zařízeních, která nespravují IT oddělení.

  1. Na jednotce operačního systému je povolený BitLocker.

  2. Zásada skupiny „Konfigurovat profil ověřování platformy TPM pro nativní konfigurace firmwaru UEFI“ je nakonfigurovaná a profil ověřování zahrnuje PCR7 (nebo je ručně nastavený ekvivalentní klíč registru).

  3. Systémové informace (msinfo32.exe) u položky Vazba PCR7 ve stavu zabezpečeného spouštění hlásí hodnotu „Není možné“.

  4. V databázi podpisů zabezpečeného spouštění (DB) zařízení je certifikát Windows UEFI CA 2023, takže zařízení splňuje podmínky pro nastavení Správce spouštění Windows podepsaného v roce 2023 jako výchozího.

  5. Zařízení ještě nepoužívá Správce spouštění Windows podepsaný v roce 2023.

V tomto scénáři stačí obnovovací klíč BitLockeru zadat jen jednou. Další restartování nespustí obrazovku pro obnovení BitLockeru, pokud konfigurace zásad skupiny zůstane beze změny. Nápovědu k vyhledání obnovovacího klíče nástroje BitLocker najdete v článku Vyhledání obnovovacího klíče nástroje BitLocker.

Podnikům doporučujeme, aby před instalací této aktualizace zkontrolovaly svoje zásady skupiny pro BitLocker kvůli explicitnímu zahrnutí PCR7 a ověřily stav vazby PCR7 v nástroji msinfo32.exe. (Podívejte se na následující alternativní řešení.)

Alternativní řešení 

Před instalací aktualizace odeberte konfiguraci Zásady skupiny (doporučeno) 

  1. Otevřete Editor zásad skupiny (gpedit.msc) nebo Konzolu pro správu zásad skupiny.

  2. Přejděte sem: Konfigurace počítače > Šablony pro správu > Součásti systému Windows > Šifrování jednotky BitLocker > Jednotky operačního systému.

  3. Nastavte „Konfigurovat profil ověřování platformy TPM pro nativní konfigurace firmwaru UEFI“ na „Nenakonfigurováno“.

  4. Na ovlivněných zařízeních spusťte následující příkaz, aby se změna zásad promítla: gpupdate /force

  5. Spuštěním následujícího příkazu pozastavte BitLocker (pokud je BitLocker povolený na jednotce C:): manage-bde -protectors -disable C: 

  6. Spuštěním následujícího příkazu znovu zapněte ochranu BitLockerem (pokud je BitLocker povolený na jednotce C:): manage-bde -protectors -enable C: 

  7. Tím se vazby BitLockeru aktualizují tak, aby používaly výchozí profil PCR vybraný Windows.

Trvalé řešení tohoto problému se plánuje v budoucí aktualizaci systému Windows. Další informace budou k dispozici, jakmile budou k dispozici.

Služby Windows Server Update Services (WSUS) po instalaci aktualizace KB5070884 nebo novějších aktualizací nezobrazují podrobnosti o chybách synchronizace v rámci zasílání zpráv o chybách. Tato funkce je dočasně odebrána, aby se vyřešilo ohrožení zabezpečení související se vzdáleným spuštěním kódu CVE-2025-59287

Příznaky

Po instalaci této aktualizace se v některých případech nemusí správně zobrazit upozornění zabezpečení, které se zobrazí při otevírání souborů Vzdálené plochy (RDP).

K tomuto problému může dojít, když používáte více monitorů s různými nastaveními měřítka zobrazení (například jeden monitor nastavený na 100 % a jiný na 125 %). Když k tomu dojde, může se v okně upozornění zobrazit překrývající se text nebo částečně skrytá tlačítka, což může ztěžovat čtení zprávy nebo interakci s ní.

Alternativní řešení

Tento problém řeší KB5087545.

Jak získat tuto aktualizaci

Před instalací této aktualizace

Microsoft teď kombinuje nejnovější servisní aktualizaci SSU pro váš operační systém s nejnovější kumulativní aktualizací LCU. Obecné informace o servisních aktualizacích SSU najdete v tématu Servisní aktualizace zásobníku.

Předpoklad pro údržbu offline imagí operačního systému:

Ujistěte se, že image obsahuje KB5030216 (12. 9. 2023) nebo novější kumulativní aktualizace LCU. Pokud ne, nainstalujte ho na offline médium před instalací nejnovější aktualizace. Tato aktualizace LCU aktualizuje verzi SSU na 20348.1960. To je minimální verze SSU, kterou musíte mít, abyste zabránili 0x800f0823 chyb (CBS_E_NEW_SERVICING_STACK_REQUIRED).

Instalace této aktualizace

Chcete-li nainstalovat tuto aktualizaci, použijte jeden z následujících kanálů pro windows a microsoft.

Je dostupný

Další krok:

Zahrnuté

Tato aktualizace se automaticky stáhne a nainstaluje ze služby služba Windows Update a Microsoft Update.

Pokud chcete tuto aktualizaci odebrat

Pozor: Než se rozhodnete tuto aktualizaci odebrat, přečtěte si téma Vysvětlení rizik: Proč byste neměli odinstalovat aktualizace zabezpečení.

Pokud chcete odebrat kumulativní aktualizaci LCU po instalaci kombinovaného balíčku SSU a LCU, použijte možnost příkazového řádku DISM/Remove-Package s názvem balíčku LCU jako argumentem. Název balíčku můžete najít pomocí tohoto příkazu: DISM /online /get-packages.

Spuštění služba Windows Update samostatného instalačního programu (wusa.exe) s přepínačem /uninstall v kombinovaném balíčku nebude fungovat, protože kombinovaný balíček obsahuje SSU. Po instalaci nelze odebrat SSU ze systému.

Informace o souborech

Pokud chcete získat seznam souborů poskytovaných v rámci této aktualizace, stáhněte si informace o souborech pro kumulativní aktualizaci 5082142

Pokud chcete získat seznam souborů poskytovaných v servisní aktualizaci zásobníku, stáhněte si informace o souborech pro SSU (KB5082137) verze 20348.5021

Facebook LinkedIn E-mail
PŘIHLÁSIT SE K ODBĚRU INFORMAČNÍCH KANÁLŮ RSS

Potřebujete další pomoc?

Chcete další možnosti?

Prozkoumejte výhody předplatného, projděte si školicí kurzy, zjistěte, jak zabezpečit své zařízení a mnohem více.

Výhody předplatného Microsoft 365

Školení k Microsoft 365

Zabezpečení od Microsoftu

Centrum přístupnosti