12. května 2026 – KB5087539 (build operačního systému 26100.32860)
Platí pro
Datum vydání:
12.05.2026
Verze:
Build operačního systému 26100.32860
Tato kumulativní aktualizace pro Windows Server 2025 (KB5087539) obsahuje nejnovější opravy zabezpečení a vylepšení spolu s aktualizacemi nesouvisejícími se zabezpečením z volitelné verze Preview z minulého měsíce. Další informace o rozdílech mezi aktualizacemi zabezpečení, volitelnými aktualizacemi Preview nesouvisejícími se zabezpečením, mimořádnými aktualizacemi (OOB) a průběžnými inovacemi najdete v tématu Vysvětlení měsíčních aktualizací systému Windows. Informace o terminologii aktualizací systému Windows naleznete v části Různé typy aktualizací softwaru systému Windows.
Nejnovější aktualizace týkající se této verze najdete na řídicím panelu stavu verzí Windows nebo na stránce s historií aktualizací pro Windows Server 2025.
Oznámení a zprávy
Tato část obsahuje důležitá oznámení související s tímto vydáním, včetně oznámení, protokolů změn a oznámení o konci podpory.
Vypršení platnosti certifikátu zabezpečeného spouštění systému Windows
Idůležité: Platnost certifikátů zabezpečeného spouštění používaných většinou zařízení s Windows vyprší od června 2026. To může mít vliv na schopnost určitých osobních a firemních zařízení bezpečně se spouštět, pokud se neaktualizují včas. Pokud se chcete vyhnout přerušení služeb, doporučujeme projít si pokyny a podniknout kroky k aktualizaci certifikátů předem. Podrobnosti a přípravné kroky najdete v článku Vypršení platnosti certifikátu zabezpečeného spouštění systému Windows a aktualizace certifikační autority a v blogu playbooku se zabezpečeným systémem Windows Server.
|
Změnit datum |
Popis změny |
|
9 června, 2026 |
Aktualizovány známé problémy: Přidáno řešení pro "U zařízení s nedoporučenou konfigurací nástroje BitLocker Zásady skupiny může být vyžadováno zadání obnovovacího klíče nástroje BitLocker". |
|
27 května, 2026 |
Aktualizované příkazy (řetězce MSU) v části Katalog. |
|
15 května, 2026 |
Přidána aktualizace služby AD CS (Active Directory Certificate Services). |
|
13 května, 2026 |
Přidána poznámka k vydání zabezpečeného spouštění: Tato aktualizace přidává novou složku SecureBoot v části C:\Windowsna oprávněných zařízeních. |
Vylepšení
Tato aktualizace zabezpečení obsahuje opravy a vylepšení kvality z KB5082063 (vydané 14. dubna 2026) a KB5091157 (vydané 19. dubna 2026). Následující souhrn popisuje klíčové problémy, které tato aktualizace řeší. Součástí jsou také nové funkce. Tučný text v hranatých závorkách označuje položku nebo oblast změny.
-
[Zabezpečené spouštění]
-
V této aktualizaci zahrnují aktualizace systému Windows pro zvýšení kvality další vysoce spolehlivá data o cílení na zařízení, čímž se zvyšuje pokrytí zařízení, která mají nárok na automatické přijímání nových certifikátů zabezpečeného spouštění. Zařízení obdrží nové certifikáty až poté, co prokáží dostatečné úspěšné aktualizační signály a udržují řízené a postupné zavádění.
-
Tato aktualizace přidá novou složku SecureBootv části C:\Windowsna oprávněných zařízeních. Složka obsahuje ukázkové skripty určené pro organizace se specialisty v oblasti IT, kteří aktivně spravují aktualizace v rámci celé své flotily zařízení. Tyto skripty je možné použít ke zjištění stavu aktualizace certifikátu zabezpečeného spouštění a automatizaci nasazení pomocí mechanismu bezpečného zavedení v prostředí Active Directory. Další informace naleznete v tématu Ukázkový průvodce automatizací zabezpečeného spouštění E2E.
-
-
[Připojení] Tato aktualizace zlepšuje spolehlivost oznámení protokolu SSDP (Simple Service Discovery Protocol), aby služba nemohla přestat reagovat.
-
[Letní čas (DST)] Tato aktualizace podporuje změnu letního času pro Egyptskou arabskou republiku v roce 2023.
-
[Řadiče domény] Tato aktualizace zlepšuje výkon služby LSASS (Local Security Authority Subsystem Service) na řadičích domény, když je povolený program Microsoft Defender. Snižuje využití procesoru a paměti během shromažďování IDL_DRSGetNCChanges událostí Trasování událostí pro Windows.
-
[Vzdálená plocha (známý problém)] Opraveno: Tato aktualizace řeší problém, který ovlivňuje dialogové okno upozornění zabezpečení Připojení ke vzdálené ploše. Pokud měly monitory jiné měřítko, mohlo se dialogové okno vykreslovat nesprávně ve scénáři s více monitory. K tomu může dojít po instalaci aktualizace zabezpečení z dubna 2026 (KB5082063). Další informace najdete v tématu Principy upozornění zabezpečení při otevírání souborů Vzdálené plochy (RDP).
-
[Přihlášení] Po instalaci aktualizace Windows vydané 10. března 2026 nebo později můžou mít někteří uživatelé problém s přihlášením k aplikacím pomocí účtu Microsoft. I v případě, že má zařízení funkční připojení k internetu, se během přihlašování zobrazí chybová zpráva "žádný internet" a zabrání přístupu ke službám a aplikacím Microsoft, jako je Microsoft Teams.
-
[Služba AD CS (Active Directory Certificate Services)] Tato aktualizace přidává podporu postkvantových podpisů ML-DSA (Module-Lattice-Based Digital Signature Algorithm) ve službě AD CS (Active Directory Certificate Services). Správci můžou nakonfigurovat nové certifikační autority s ML-DSA-44, ML-DSA-65 nebo ML-DSA-87 a vydávat certifikáty odolné vůči kvantovému výpočtu pro podepisování kódu, protokol TLS (Transport Layer Security) a podepisování odpovědí protokolu OCSP (Online Certificate Status Protocol).
Pokud jste už nainstalovali předchozí aktualizace, vaše zařízení stáhne a nainstaluje jenom nové aktualizace, které jsou součástí tohoto balíčku.
Další informace o chybách zabezpečení najdete v Průvodci aktualizacemi zabezpečení a v Aktualizacích zabezpečení z května 2026.
Aktualizace obslužného zásobníku Windows Server 2025 (KB5089717) – 26100.32837
Tato aktualizace obsahuje vylepšení kvality pro servisní balík Servicing Stack, což je součást, která instaluje aktualizace systému Windows. Servisní aktualizace SSU (Servicing Stack Updates) zajišťují, že máte robustní a spolehlivý servisní balík Servicing Stack, aby vaše zařízení mohla přijímat a instalovat aktualizace od Microsoftu. Další informace o aktualizacích SSU najdete v tématu Zjednodušení místního nasazení servisních aktualizací SSU.
Známé problémy v této aktualizaci
Příznak
Na některých zařízeních s nedoporučenou konfigurací zásad skupiny pro BitLocker může být při prvním restartování po instalaci této aktualizace potřeba zadat obnovovací klíč BitLockeru.
Tento problém se týká jenom omezeného počtu systémů, ve kterých platí VŠECHNY následující podmínky. Tyto podmínky se pravděpodobně nevyskytnou na osobních zařízeních, která nespravují IT oddělení.
-
Na jednotce operačního systému je povolený BitLocker.
-
Zásada skupiny „Konfigurovat profil ověřování platformy TPM pro nativní konfigurace firmwaru UEFI“ je nakonfigurovaná a profil ověřování zahrnuje PCR7 (nebo je ručně nastavený ekvivalentní klíč registru).
-
Systémové informace (msinfo32.exe) u položky Vazba PCR7 ve stavu zabezpečeného spouštění hlásí hodnotu „Není možné“.
-
V databázi podpisů zabezpečeného spouštění (DB) zařízení je certifikát Windows UEFI CA 2023, takže zařízení splňuje podmínky pro nastavení Správce spouštění Windows podepsaného v roce 2023 jako výchozího.
-
Zařízení ještě nepoužívá Správce spouštění Windows podepsaný v roce 2023.
V tomto scénáři stačí obnovovací klíč BitLockeru zadat jen jednou. Další restartování nespustí obrazovku pro obnovení BitLockeru, pokud konfigurace zásad skupiny zůstane beze změny. Pomoc s nalezením obnovovacího klíče nástroje BitLocker naleznete v článku Vyhledání obnovovacího klíče nástroje BitLocker.
Podnikům doporučujeme, aby před instalací této aktualizace zkontrolovaly svoje zásady skupiny pro BitLocker kvůli explicitnímu zahrnutí PCR7 a ověřily stav vazby PCR7 v nástroji msinfo32.exe. (Viz alternativní řešení níže.)
Alternativní řešení
Tento problém řeší KB5094125. Po instalaci KB5094125 se zařízením s touto nekompatibilní konfigurací zásad skupiny zabrání instalace Správce spouštění Windows podepsaného v roce 2023. Pokud se to týkalo vašeho zařízení, zobrazí se při instalaci aktualizací Windows v protokolu systémových událostí událost s ID 1032: "The Secure Boot update Boot Manager (2023) was not applied due to a known incompatibility with the current BitLocker configuration." (Správce spouštění aktualizace zabezpečeného spouštění (2023) nebyl použit kvůli známé nekompatibilitě s aktuální konfigurací nástroje BitLocker.
Pokud obdržíte událost s ID 1032, Microsoft důrazně doporučuje před instalací aktualizací odebrat konfiguraci Zásady skupiny, abyste mohli nainstalovat Správce spouštění systému Windows podepsaný v roce 2023 a dál dostávat nejnovější ochranu zabezpečeného spouštění.
Před instalací aktualizace odeberte konfiguraci Zásady skupiny (doporučeno).
-
Otevřete Editor zásad skupiny (gpedit.msc) nebo Konzolu pro správu zásad skupiny.
-
Přejděte sem: Konfigurace počítače > Šablony pro správu > Součásti systému Windows > Šifrování jednotky BitLocker > Jednotky operačního systému.
-
Nastavte „Konfigurovat profil ověřování platformy TPM pro nativní konfigurace firmwaru UEFI“ na „Nenakonfigurováno“.
-
Na ovlivněných zařízeních spusťte následující příkaz, aby se změna zásad promítla: gpupdate /force
-
Pokud chcete pozastavit BitLocker (pokud je BitLocker povolený na jednotce C:), spusťte následující příkaz: manage-bde -protectors -disable C:
-
Spuštěním následujícího příkazu obnovíte BitLocker (pokud je BitLocker povolený na jednotce C:): manage-bde -protectors -enable C:
-
Tím se aktualizují vazby nástroje BitLocker tak, aby používaly výchozí profil PCR vybraný systémem Windows.
Pokud nechcete tuto konfiguraci Zásady skupiny odebrat, můžete nainstalovat nového Správce spouštění systému Windows dočasným pozastavením nástroje BitLocker a instalací aktualizace zabezpečeného spouštění. Postupujte takto:
-
Pokud chcete pozastavit BitLocker (pokud je BitLocker povolený na jednotce C:), spusťte následující příkaz: manage-bde -protectors -disable C:
-
Spusťte následující příkaz: Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"
-
Zařízení restartujte.
-
Po úspěšné instalaci nového Správce spouštění systému Windows povolte nástroj BitLocker spuštěním příkazu: manage-bde -protectors -enable C:
Služby Windows Server Update Services (WSUS) po instalaci aktualizace KB5070881 nebo novějších aktualizací nezobrazují podrobnosti o chybách synchronizace v rámci zasílání zpráv o chybách. Tato funkce je dočasně odebrána, aby se vyřešilo ohrožení zabezpečení související se vzdáleným spuštěním kódu CVE-2025-59287.
Jak získat tuto aktualizaci
Před instalací této aktualizace
Společnost Microsoft kombinuje nejnovější servisní aktualizaci SSU pro váš operační systém s nejnovější kumulativní aktualizací LCU. Obecné informace o aktualizacích SSU najdete v článku o servisních aktualizacích SSU.
Instalace této aktualizace
K instalaci této aktualizace použijte jeden z následujících kanálů pro Windows a Microsoft.
|
K dispozici |
Další krok: |
|
|
|
Tato aktualizace se stahuje a instaluje automaticky z služba Windows Update a Microsoft Update. |
|
Je dostupný |
Další krok: |
|
|
Tato aktualizace se stahuje a instaluje automaticky ze služby Windows Update pro firmy v souladu s nakonfigurovanými zásadami. |
|
Je dostupný |
Další krok: |
|||||
|
|
Chcete-li nainstalovat tuto verzi z Katalogu služby Microsoft Update, postupujte podle následujících pokynů:Před instalací této aktualizace jsou samostatné balíčky pro tuto aktualizaci k dispozici v Katalogu služby Microsoft Update . Tato aktualizace KB obsahuje jeden nebo více souborů MSU, které vyžadují instalaci v určitém pořadí. Tuto aktualizaci můžete nainstalovat pomocí metody 1 (instalace všech souborů MSU společně) nebo metody 2 (instalace každého souboru MSU jednotlivě v pořadí). Metoda 1: Nainstalujte všechny soubory MSU dohromady Stáhněte si všechny soubory MSU pro KB5087539 z Katalogu služby Microsoft Update a umístěte je do stejné složky (například C:/Packages). K instalaci cílové aktualizace použijte nástroj Deployment Image Servicing and Management (DISM.exe). Nástroj DISM použije složku zadanou v PackagePath ke zjištění a instalaci jednoho nebo více požadovaných souborů MSU podle potřeby. Aktualizace osobního počítače s Windows Pokud chcete tuto aktualizaci použít na osobním počítači se systémem Windows, spusťte následující příkaz z příkazového řádku se zvýšenými oprávněními:
Nebo spusťte následující příkaz z příkazového řádku Windows PowerShell se zvýšenými oprávněními:
Nebo k instalaci cílové aktualizace použijte samostatný instalační nástroj Windows Update. Aktualizace instalačního média systému Windows Pokud chcete tuto aktualizaci použít na instalační médium Windows, přečtěte si téma Aktualizace instalačního média Windows pomocí dynamické aktualizace. Poznámka: Při stahování dalších balíčků dynamických aktualizací se ujistěte, že odpovídají stejnému měsíci jako tato aktualizace KB. Pokud dynamická aktualizace SafeOS nebo dynamická aktualizace instalace není dostupná ve stejném měsíci jako tato aktualizace KB, použijte jejich poslední publikovanou verzi. Pokud chcete tuto aktualizaci přidat do připojené image, spusťte následující příkaz z příkazového řádku se zvýšenými oprávněními:
Nebo spusťte následující příkaz z příkazového řádku Windows PowerShell se zvýšenými oprávněními:
Metoda 2: Nainstalujte každý soubor MSU jednotlivě v pořadí Stáhněte a nainstalujte každý soubor MSU jednotlivě pomocí nástroje DISM nebo samostatné instalační služby Windows Update v následujícím pořadí:
|
|
K dispozici |
Další krok: |
|
|
Tato aktualizace se bude automaticky synchronizovat se službou Windows Server Update Services (WSUS), pokud nakonfigurujete Produkty a klasifikace takto: Produkt: Serverový operační systém Microsoft-24H2 Klasifikace: Aktualizace zabezpečení |
Pokud chcete tuto aktualizaci odebrat
Než se rozhodnete tuto aktualizaci odebrat, přečtěte si téma Principy rizik: Proč byste neměli odinstalovat aktualizace zabezpečení.
Pokud chcete odebrat kumulativní aktualizaci LCU po instalaci kombinovaného balíčku SSU a LCU, použijte možnost příkazového řádku DISM/Remove-Package s názvem balíčku LCU jako argumentem. Název balíčku najdete pomocí tohoto příkazu: DISM /online /get-packages.
Spuštění samostatného instalačního programu (wusa.exe) služba Windows Update s přepínačem /uninstall na sloučeném balíčku nebude fungovat, protože kombinovaný balíček obsahuje aktualizaci SSU. Po instalaci nelze servisní aktualizaci SSU odebrat ze systému.
Informace o souborech
Pokud chcete získat seznam souborů poskytovaných v rámci této aktualizace, stáhněte si informace o souborech pro kumulativní aktualizaci 5087539.
Pokud chcete získat seznam souborů poskytovaných v servisní aktualizaci SSU, stáhněte si informace o souborech pro servisní aktualizaci SSU (KB5089717) – verze 26100.32837.
Potřebujete další pomoc?
Chcete další možnosti?
Prozkoumejte výhody předplatného, projděte si školicí kurzy, zjistěte, jak zabezpečit své zařízení a mnohem více.
Komunity vám pomohou klást otázky a odpovídat na ně, poskytovat zpětnou vazbu a vyslechnout odborníky s bohatými znalostmi.
