Vypršení platnosti certifikátu zabezpečeného spouštění systému Windows
Důležité: Platnost certifikátů zabezpečeného spouštění používaných většinou zařízení s Windows vyprší od června 2026. To může mít vliv na schopnost určitých osobních a firemních zařízení bezpečně se spouštět, pokud se neaktualizují včas. Pokud se chcete vyhnout přerušení služeb, doporučujeme projít si pokyny a podniknout kroky k aktualizaci certifikátů předem.
Podrobnosti a přípravné kroky pro zařízení s Windows najdete v tématu Vypršení platnosti certifikátu zabezpečeného spouštění Windows a aktualizace certifikační autority
Podrobnosti a přípravné kroky pro servery s Windows najdete v následujících zdrojích:
|
Změnit datum |
Změnit popis |
|
14. dubna 2026 |
Přidání známého problému: Zařízení s nedokazenou konfigurací nástroje BitLocker Zásady skupiny se můžou vyžadovat k zadání obnovovacího klíče nástroje BitLocker. |
Shrnutí
Tento článek obsahuje seznam problémů se zabezpečením a vylepšení kvality zahrnutých v této aktualizaci zabezpečení.
Platí pro: Windows 10 ESU
Důležité informace: K aktualizaci na Windows 10 verze 22H2 použijte EKB KB5015684.
Tato aktualizace zabezpečení zahrnuje opravy a vylepšení kvality, které jsou součástí následujících aktualizací:
Následuje souhrn problémů, které tato aktualizace řeší při instalaci této aktualizace. Pokud existují nové funkce, zobrazí se také jejich seznam. Tučný text v hranatých závorkách označuje položku nebo oblast změny, kterou dokumentujeme.
-
[Sign-In] Opraveno: Po instalaci aktualizace Windows vydané 10. března 2026 nebo později můžou někteří uživatelé zaznamenat problém s přihlašováním k aplikacím pomocí účtu Microsoft. I když má zařízení funkční připojení k internetu, při přihlašování se zobrazí chyba "žádný internet", která brání přístupu ke službám a aplikacím Microsoftu, jako je Microsoft Teams.
-
[Vzdálená plocha] Tato aktualizace zlepšuje ochranu před útoky phishing, které používají soubory Vzdálené plochy (.rdp). Když otevřete soubor .rdp, zobrazí Vzdálená plocha před připojením všechna požadovaná nastavení připojení, přičemž každé nastavení je ve výchozím nastavení vypnuté. Jednorázové upozornění zabezpečení se zobrazí také při prvním otevření souboru .rdp na zařízení. Další informace najdete v tématu Vysvětlení upozornění zabezpečení při otevírání souborů Vzdálené plochy (RDP).
-
[Zabezpečené spouštění]
-
Tato aktualizace umožňuje dynamické hlášení stavu pro stavy zabezpečeného spouštění v aplikaci Zabezpečení Windows (nastavení > aktualizace & zabezpečení> Zabezpečení Windows). Přečtěte si další informace o upozorněních na stav prostřednictvím odznáčku a oznámení. Upozorňujeme, že tato vylepšení jsou na komerčních zařízeních a serverech ve výchozím nastavení zakázaná.
-
Tato aktualizace opravuje problém, který by mohl způsobit, že zařízení po aktualizacích zabezpečeného spouštění přejde do nástroje BitLocker Recovery.
-
Díky této aktualizaci zahrnují aktualizace pro zvýšení kvality Windows další vysoce důvěrná data pro cílení na zařízení, což zvyšuje pokrytí zařízení, která mají nárok na automatické přijímání nových certifikátů zabezpečeného spouštění. Zařízení obdrží nové certifikáty až po prokázání dostatečného množství úspěšných aktualizačních signálů a udržování řízeného a postupného zavádění.
-
Pokud jste nainstalovali dřívější aktualizace, stáhnou se a nainstalují do vašeho zařízení jenom nové aktualizace obsažené v tomto balíčku.
Další informace o chybách zabezpečení najdete na novém webu Průvodce aktualizacemi zabezpečení a na Aktualizace zabezpečení z dubna 2026.
Informace o terminologii služby Windows Update najdete v článku o typech aktualizací systému Windows a typech měsíčníchaktualizací pro zvýšení kvality. Přehled Windows 10 verze 22H2 najdete na stránce historie aktualizací.
Poznámka Podle @WindowsUpdate zjistěte, kdy se na řídicím panelu stavu verzí Windows publikuje nový obsah.
Známé problémy v této aktualizaci
Příznak
U některých zařízení s nedostupnou konfigurací nástroje BitLocker Zásady skupiny může být nutné zadat obnovovací klíč nástroje BitLocker při prvním restartování po instalaci této aktualizace.
Tento problém se týká pouze omezeného počtu systémů, ve kterých platí všechny následující podmínky. Tyto podmínky pravděpodobně nenajdete na osobních zařízeních, která nespravují ODDĚLENÍ IT.
-
BitLocker je povolený na jednotce operačního systému.
-
Nakonfiguruje se Zásady skupiny Konfigurace profilu ověření platformy TPM pro nativní konfigurace firmwaru UEFI a do ověřovacího profilu se zahrne PCR7 (nebo se ekvivalentní klíč registru nastaví ručně).
-
Informace o systému (msinfo32.exe) hlásí vazbu stavu zabezpečeného spouštění PCR7 jako "Není možné".
-
Certifikát Windows UEFI CA 2023 se nachází v databázi podpisů zabezpečeného spouštění (DB) zařízení, takže zařízení má nárok na nastavení Správce spouštění systému Windows podepsaného 2023 jako výchozí.
-
Na zařízení ještě není spuštěný Správce spouštění systému Windows podepsaný 2023.
V tomto scénáři je potřeba zadat obnovovací klíč nástroje BitLocker jenom jednou – při následných restartováních se neaktivuje obrazovka pro obnovení nástroje BitLocker, pokud se nezmění konfigurace zásad skupiny. Nápovědu k vyhledání obnovovacího klíče nástroje BitLocker najdete v článku Vyhledání obnovovacího klíče nástroje BitLocker.
Podnikům se doporučuje, aby před instalací této aktualizace zkontrolovaly zásady skupiny nástroje BitLocker pro explicitní zahrnutí PCR7 a zkontrolovaly msinfo32.exe stav vazby PCR7. (Viz možnost 1 níže.)
Alternativní řešení
Možnost 1: Před instalací aktualizace odeberte konfiguraci Zásady skupiny (doporučeno)
-
Otevřete editor Zásady skupiny (gpedit.msc) nebo konzolu pro správu Zásady skupiny.
-
Přejděte na: Konfigurace počítače > Šablony pro správu > součásti systému Windows > nástroj BitLocker Drive Encryption > jednotky operačního systému.
-
Nastavte Možnost Konfigurovat profil ověření platformy TPM pro nativní konfigurace firmwaru rozhraní UEFI na Nenakonfigurováno.
-
Na ovlivněných zařízeních spusťte následující příkaz, který rozšíří změnu zásad: gpupdate /force
-
Spuštěním následujícího příkazu pozastavte nástroj BitLocker (kde je nástroj BitLocker povolený na jednotce C:): manage-bde -protectors -disable C:
-
Spuštěním následujícího příkazu obnovte BitLocker (kde je nástroj BitLocker povolený na jednotce C:): manage-bde -protectors -enable C:
-
Tím se aktualizuje vazby nástroje BitLocker tak, aby používaly výchozí profil PCR vybraný systémem Windows.
Možnost 2: Před instalací aktualizace použijte vrácení známého problému zpět (KIR)
Pro zákazníky, kteří před nasazením této aktualizace nemůžou odebrat zásady skupiny PCR7, je k dispozici vrácení známého problému (KIR ). Kir zabrání automatickému přepnutí na Správce spouštění 2023 a zabrání triggeru obnovení nástroje BitLocker. Kir by se měl nasadit před instalací aktualizace na ovlivněná zařízení. Pokud chcete získat tento KIR, obraťte se na podporu Microsoftu pro firmy .
Další kroky
Trvalé řešení tohoto problému se plánuje v budoucí aktualizaci systému Windows. Další informace budou k dispozici, jakmile budou k dispozici.
Platí pro: Windows 10 Enterprise LTSC 2021 a Windows 10 IoT Enterprise LTSC 2021
Důležité informace: K aktualizaci na Windows 10 verze 21H2 v podporovaných edicích použijte EKB KB5003791.
Tato aktualizace zabezpečení zahrnuje opravy a vylepšení kvality, které jsou součástí následujících aktualizací:
Následuje souhrn problémů, které tato aktualizace řeší při instalaci této aktualizace. Pokud existují nové funkce, zobrazí se také jejich seznam. Tučný text v hranatých závorkách označuje položku nebo oblast změny, kterou dokumentujeme.
-
[Sign-In] Opraveno: Po instalaci aktualizace Windows vydané 10. března 2026 nebo později můžou někteří uživatelé zaznamenat problém s přihlašováním k aplikacím pomocí účtu Microsoft. I když má zařízení funkční připojení k internetu, při přihlašování se zobrazí chyba "žádný internet", která brání přístupu ke službám a aplikacím Microsoftu, jako je Microsoft Teams.
-
[Licencování] Vylepšení: Tato aktualizace řeší problém, který ovlivňuje vytváření imagí Long-Term Servicing Channel (LTSC) pomocí nástroje DISM (Deployment Image Servicing And Management). Offline operace DISM v následujících edicích nemohly použít aktualizace zabezpečení kvůli omezením vynucování licencí. Teď můžete pomocí nástroje DISM přidat balíčky zabezpečení během vytváření offline image pro LTSC.
-
Windows 10 IoT Enterprise LTSC 2021
-
SKU Windows 10 Enterprise G
-
Windows 10 Enterprise N LTSC
-
-
[Vzdálená plocha] Tato aktualizace zlepšuje ochranu před útoky phishing, které používají soubory Vzdálené plochy (.rdp). Když otevřete soubor .rdp, zobrazí Vzdálená plocha před připojením všechna požadovaná nastavení připojení, přičemž každé nastavení je ve výchozím nastavení vypnuté. Jednorázové upozornění zabezpečení se zobrazí také při prvním otevření souboru .rdp na zařízení. Další informace najdete v tématu Vysvětlení upozornění zabezpečení při otevírání souborů Vzdálené plochy (RDP).
-
[Zabezpečené spouštění]
-
Tato aktualizace umožňuje dynamické hlášení stavu pro stavy zabezpečeného spouštění v aplikaci Zabezpečení Windows (nastavení > aktualizace & zabezpečení> Zabezpečení Windows). Přečtěte si další informace o upozorněních na stav prostřednictvím odznáčku a oznámení. Upozorňujeme, že tato vylepšení jsou na komerčních zařízeních a serverech ve výchozím nastavení zakázaná.
-
Tato aktualizace opravuje problém, který by mohl způsobit, že zařízení po aktualizacích zabezpečeného spouštění přejde do nástroje BitLocker Recovery.
-
Díky této aktualizaci zahrnují aktualizace pro zvýšení kvality Windows další vysoce důvěrná data pro cílení na zařízení, což zvyšuje pokrytí zařízení, která mají nárok na automatické přijímání nových certifikátů zabezpečeného spouštění. Zařízení obdrží nové certifikáty až po prokázání dostatečného množství úspěšných aktualizačních signálů a udržování řízeného a postupného zavádění.
-
Pokud jste nainstalovali dřívější aktualizace, stáhnou se a nainstalují do vašeho zařízení jenom nové aktualizace obsažené v tomto balíčku.
Další informace o chybách zabezpečení najdete na novém webu Průvodce aktualizacemi zabezpečení a na Aktualizace zabezpečení z dubna 2026.
Informace o terminologii služby Windows Update najdete v článku o typech aktualizací systému Windows a typech měsíčníchaktualizací pro zvýšení kvality. Přehled Windows 10 verze 22H2 najdete na stránce historie aktualizací.
Poznámka Podle @WindowsUpdate zjistěte, kdy se na řídicím panelu stavu verzí Windows publikuje nový obsah.
Známé problémy v této aktualizaci
Příznak
U některých zařízení s nedostupnou konfigurací nástroje BitLocker Zásady skupiny může být nutné zadat obnovovací klíč nástroje BitLocker při prvním restartování po instalaci této aktualizace.
Tento problém se týká pouze omezeného počtu systémů, ve kterých platí všechny následující podmínky. Tyto podmínky pravděpodobně nenajdete na osobních zařízeních, která nespravují ODDĚLENÍ IT.
-
BitLocker je povolený na jednotce operačního systému.
-
Nakonfiguruje se Zásady skupiny Konfigurace profilu ověření platformy TPM pro nativní konfigurace firmwaru UEFI a do ověřovacího profilu se zahrne PCR7 (nebo se ekvivalentní klíč registru nastaví ručně).
-
Informace o systému (msinfo32.exe) hlásí vazbu stavu zabezpečeného spouštění PCR7 jako "Není možné".
-
Certifikát Windows UEFI CA 2023 se nachází v databázi podpisů zabezpečeného spouštění (DB) zařízení, takže zařízení má nárok na nastavení Správce spouštění systému Windows podepsaného 2023 jako výchozí.
-
Na zařízení ještě není spuštěný Správce spouštění systému Windows podepsaný 2023.
V tomto scénáři je potřeba zadat obnovovací klíč nástroje BitLocker jenom jednou – při následných restartováních se neaktivuje obrazovka pro obnovení nástroje BitLocker, pokud se nezmění konfigurace zásad skupiny. Nápovědu k vyhledání obnovovacího klíče nástroje BitLocker najdete v článku Vyhledání obnovovacího klíče nástroje BitLocker.
Podnikům se doporučuje, aby před instalací této aktualizace zkontrolovaly zásady skupiny nástroje BitLocker pro explicitní zahrnutí PCR7 a zkontrolovaly msinfo32.exe stav vazby PCR7. (Viz možnost 1 níže.)
Alternativní řešení
Možnost 1: Před instalací aktualizace odeberte konfiguraci Zásady skupiny (doporučeno)
-
Otevřete editor Zásady skupiny (gpedit.msc) nebo konzolu pro správu Zásady skupiny.
-
Přejděte na: Konfigurace počítače > Šablony pro správu > součásti systému Windows > nástroj BitLocker Drive Encryption > jednotky operačního systému.
-
Nastavte Možnost Konfigurovat profil ověření platformy TPM pro nativní konfigurace firmwaru rozhraní UEFI na Nenakonfigurováno.
-
Na ovlivněných zařízeních spusťte následující příkaz, který rozšíří změnu zásad: gpupdate /force
-
Spuštěním následujícího příkazu pozastavte nástroj BitLocker (kde je nástroj BitLocker povolený na jednotce C:): manage-bde -protectors -disable C:
-
Spuštěním následujícího příkazu obnovte BitLocker (kde je nástroj BitLocker povolený na jednotce C:): manage-bde -protectors -enable C:
-
Tím se aktualizuje vazby nástroje BitLocker tak, aby používaly výchozí profil PCR vybraný systémem Windows.
Možnost 2: Před instalací aktualizace použijte vrácení známého problému zpět (KIR)
Pro zákazníky, kteří před nasazením této aktualizace nemůžou odebrat zásady skupiny PCR7, je k dispozici vrácení známého problému (KIR ). Kir zabrání automatickému přepnutí na Správce spouštění 2023 a zabrání triggeru obnovení nástroje BitLocker. Kir by se měl nasadit před instalací aktualizace na ovlivněná zařízení. Pokud chcete získat tento KIR, obraťte se na podporu Microsoftu pro firmy .
Další kroky
Trvalé řešení tohoto problému se plánuje v budoucí aktualizaci systému Windows. Další informace budou k dispozici, jakmile budou k dispozici.
Windows 10 servisní aktualizace zásobníku (KB5084130) – verze 19041.7183
Microsoft teď kombinuje nejnovější servisní aktualizaci SSU pro váš operační systém s nejnovější kumulativní aktualizací LCU. Aktualizace SSU zlepšuje spolehlivost procesu aktualizace a zahrnuje opravy servisního zásobníku, komponenty, která instaluje aktualizace Systému Windows.
Poznámka: Tato servisní aktualizace SSU (Stack Update) zahrnuje vylepšenou logiku pro ověření, jestli je zařízení hostované na Azure, a k ověření využívá aktualizovaný řetěz certifikátů. Pokud chcete zajistit, aby zařízení bylo mít přístup k požadovaným doménám aktualizace certifikátů pro úspěšné stažení a instalaci aktualizací certifikátů, přečtěte si článek Stažení a seznamy odvolaných certifikátů a podrobnosti o Azure certifikační autoritě. Další informace o servisních aktualizacích SSU najdete v tématu Servisní aktualizace zásobníku.
Jak získat tuto aktualizaci
Před instalací této aktualizace
Důležité: Musíte mít nainstalovanou nejnovější servisní aktualizaci SSU (Windows 10). Nenainstalování nejnovější aktualizace SSU před instalací aktualizací Windows může způsobit, že aktualizace Windows nebude nabízena, dokud nebude nainstalována nejnovější aktualizace SSU.
V závislosti na vašem scénáři instalace zvolte jednu z následujících možností:
-
Offline údržba imagí operačního systému:
Pokud vaše image nemá kumulativní aktualizaci LCU z 25. července 2023 (KB5028244) nebo novější, musíte před instalací této aktualizace nainstalovat speciální samostatnou aktualizaci SSU z 13. října 2023 (KB5031539).
-
Pro nasazení služby Windows Server Update Services (WSUS) nebo při instalaci samostatného balíčku z katalogu služby Microsoft Update:
Pokud vaše zařízení nemají kumulativní aktualizaci LCU z 11. května 2021 (KB5003173) nebo novější, musíte před instalací této aktualizace nainstalovat speciální samostatnou aktualizaci SSU (KB5005260) z 10. srpna 2021.
Instalace této aktualizace
Chcete-li nainstalovat tuto aktualizaci, použijte jeden z následujících kanálů pro windows a microsoft.
|
Je dostupný |
Další krok: |
|
|
Tato aktualizace se automaticky stáhne a nainstaluje ze služby Windows Update. |
|
Je dostupný |
Další krok: |
|
|
Tato aktualizace se automaticky stáhne a nainstaluje z služba Windows Update pro firmy v souladu s nakonfigurovanými zásadami. |
|
Je dostupný |
Další krok: |
|
|
Pokud chcete získat samostatný balíček pro tuto aktualizaci, přejděte na web Katalog služby Microsoft Update . Informace o tom, jak stáhnout a nainstalovat aktualizace z katalogu aktualizací, najdete v tématu Stažení aktualizací, které obsahují ovladače a opravy hotfix, z katalogu služba Windows Update. |
|
Je dostupný |
Další krok: |
|
|
Tato aktualizace se automaticky synchronizuje se službou Windows Server Update Services (WSUS), pokud nakonfigurujete produkty a klasifikace následujícím způsobem:
Pokud chcete nastavit synchronizaci serveru WSUS na základě produktů a klasifikací, přečtěte si téma Synchronizace aktualizací podle produktu a klasifikace. Pokud chcete ručně importovat aktualizace do služby WSUS, přečtěte si téma Import aktualizací do služby WSUS pomocí PowerShellu. |
Informace o souborech
Seznam souborů zahrnutých v této aktualizaci je k dispozici v souboru CSV (*.csv) odděleném čárkami. Soubor lze otevřít v textovém editoru, jako je Poznámkový blok nebo Microsoft Excel.
Poznámka: Anglická (USA) verze této aktualizace softwaru může obsahovat soubory pro další jazyky.
Související informace
Pokud chcete tuto aktualizaci odebrat
POZOR Než se rozhodnete tuto aktualizaci odebrat, přečtěte si téma Vysvětlení rizik: Proč byste neměli odinstalovat aktualizace zabezpečení.
Pokud chcete odebrat kumulativní aktualizaci LCU po instalaci kombinovaného balíčku SSU a LCU, použijte možnost příkazového řádku DISM/Remove-Package s názvem balíčku LCU jako argumentem. Název balíčku můžete najít pomocí tohoto příkazu: DISM /online /get-packages.
Spuštění služba Windows Update samostatného instalačního programu (wusa.exe) s přepínačem /uninstall v kombinovaném balíčku nebude fungovat, protože kombinovaný balíček obsahuje SSU. Po instalaci nelze odebrat SSU ze systému.
Oznámení o aktualizacích aplikací pro Microsoft Store
Aktualizace systému Windows neinstalují aktualizace aplikací z obchodu Microsoft Store. Pokud jste podnikový uživatel, přečtěte si článek Aplikace pro Microsoft Store – Configuration Manager. Pokud jste uživatelský uživatel, přečtěte si článek Získání aktualizací pro aplikace a hry v Microsoft Storu.
Informace o ukončení podpory
Konec podpory Windows 10, verze 21H2/22H2 a Windows 10 Enterprise LTSC 2021
Microsoft už nebude poskytovat bezplatné aktualizace softwaru od služby Windows Update, technickou pomoc nebo opravy zabezpečení k následujícím datům ukončení:
♦ Windows 10 verze 21H2: Podpora skončila 13. června 2023
♦ Windows 10 verze 22H2: Podpora skončila 14. října 2025
♦ Windows 10 Enterprise LTSC 2021: 12. ledna 2027
♦ Windows 10 IoT Enterprise LTSC 2021: 13. ledna 2032
Poznámka: Program rozšířených aktualizací zabezpečení (ESU) Windows 10 končí 13. října 2026. Doporučujeme upgradovat na novější verzi Windows.
