Udløb af Windows Secure Boot-certifikat
Vigtigt! Secure Boot-certifikat, der bruges af de fleste Windows-enheder, er indstillet til at udløbe fra og med juni 2026. Dette kan påvirke muligheden for, at visse personlige enheder og virksomhedsenheder kan starte sikkert, hvis de ikke opdateres i tide. For at undgå afbrydelser anbefaler vi, at du gennemser vejledningen og gør noget for at opdatere certifikater på forhånd.
Du kan finde flere oplysninger og forberedelsestrin for Windows-enheder beredes Udløb af Windows Secure Boot-certifikat og CA-opdateringer.
Du kan finde flere oplysninger og forberedelsestrin til Windows-servere i følgende ressourcer:
|
Rediger dato |
Skift beskrivelse |
|
14. april 2026 |
Kendt problem tilføjet: "Enheder med en ikke-anbefalet BitLocker-Gruppepolitik konfiguration kan være påkrævet for at angive bitlocker-genoprettelsesnøglen" |
Resumé
I denne artikel beskrives de sikkerhedsproblemer og kvalitetsforbedringer, der er inkluderet i denne sikkerhedsopdatering.
Gælder for: Windows 10 ESU
Vigtigt!: Brug EKB-KB5015684 til at opdatere til Windows 10, version 22H2.
Denne sikkerhedsopdatering indeholder rettelser og kvalitetsforbedringer, der er en del af følgende opdateringer:
Følgende er en oversigt over de problemer, som denne opdatering løser, når du installerer denne opdatering. Hvis der er nye funktioner, vises de også på listen. Den fede tekst i de kantede parenteser angiver elementet eller området for den ændring, vi dokumenterer.
-
[Logon] Løst: Når du har installeret Windows-opdateringen, der blev udgivet den 10. marts 2026 eller derefter, kan nogle brugere opleve et problem med at logge på apps med en Microsoft-konto. Selv når enheden har en fungerende internetforbindelse, vises en "ingen internet"-fejl under logon og forhindrer adgang til Microsoft-tjenester og -apps som f.eks. Microsoft Teams.
-
[Fjernskrivebord] Denne opdatering forbedrer beskyttelsen mod phishingangreb, der bruger .rdp-filer (Fjernskrivebord). Når du åbner en .rdp-fil, viser Fjernskrivebord alle de ønskede forbindelsesindstillinger, før der oprettes forbindelse, og hver indstilling er som standard slået fra. Der vises også en engangssikkerhedsadvarsel, første gang du åbner en .rdp-fil på en enhed. Du kan få mere at vide under Om sikkerhedsadvarsler, når du åbner RDP-filer (Fjernskrivebord).
-
[Sikker bootstart]
-
Denne opdatering aktiverer dynamisk statusrapportering for tilstandene for sikker bootstart i Windows Sikkerhed-appen (Indstillinger > Opdatering & sikkerhed > Windows Sikkerhed). Få mere at vide om statusbeskeder via badges og meddelelser. Bemærk, at disse forbedringer som standard er deaktiveret på kommercielle enheder og servere.
-
Denne opdatering løser et problem, der kan medføre, at en enhed skifter til BitLocker-genoprettelse efter opdateringer til sikker bootstart.
-
Med denne opdatering indeholder kvalitetsopdateringer til Windows yderligere data til målretning af enheder med høj sikkerhed, hvilket øger dækningen af enheder, der er berettiget til automatisk at modtage nye certifikater til sikker bootstart. Enhederne modtager først de nye certifikater, når de har vist tilstrækkelige vellykkede opdateringssignaler og har vedligeholdt en kontrolleret og trinvis implementering.
-
Hvis du har installeret tidligere opdateringer, er det kun de nye opdateringer, der er indeholdt i denne pakke, der downloades og installeres på din enhed.
Du kan finde flere oplysninger om sikkerhedssårbarheder på det nye websted Sikkerhedsopdateringsvejledning og Sikkerheds-Opdateringer for april 2026.
Du kan få mere at vide om Windows Update-terminologi i artiklen om typerne af Windows-opdateringer og de månedlige kvalitetsopdateringstyper. Du kan få en oversigt over Windows 10 version 22H2 på siden med opdateringsoversigten.
BemærkFølg @WindowsUpdate for at finde ud af, hvornår nyt indhold udgives på dashboardet til Windows-tilstand.
Kendte problemer i denne opdatering
Symptom
Nogle enheder med en ikke-anbefalet BitLocker-Gruppepolitik konfiguration kan være nødvendige for at angive bitlocker-genoprettelsesnøglen på den første genstart, når du har installeret denne opdatering.
Dette problem påvirker kun et begrænset antal systemer, hvor ALLE følgende betingelser gælder. Det er usandsynligt, at disse betingelser findes på personlige enheder, der ikke administreres af it-afdelinger.
-
BitLocker er aktiveret på os-drevet.
-
Den Gruppepolitik "Configure TPM platform validation profile for native UEFI firmware configurations" er konfigureret, og PCR7 er inkluderet i valideringsprofilen (eller den tilsvarende registreringsdatabasenøgle angives manuelt).
-
Systemoplysninger (msinfo32.exe) rapporterer Secure Boot State PCR7 Binding som "Ikke muligt".
-
Windows UEFI CA 2023-certifikatet findes i enhedens DB-database (Secure Boot Signature Database), hvilket gør enheden berettiget til, at den 2023-signerede Windows Boot Manager gøres til standard.
-
Enheden kører ikke allerede den 2023-signerede Windows Boot Manager.
I dette scenarie skal BitLocker-genoprettelsesnøglen kun angives én gang – efterfølgende genstarter udløser ikke en BitLocker-genoprettelsesskærm, så længe konfigurationen af gruppepolitik forbliver uændret. Du kan finde hjælp til at finde din BitLocker-genoprettelsesnøgle i artiklen Find din BitLocker-genoprettelsesnøgle.
Virksomheder anbefales at overvåge deres BitLocker-gruppepolitikker for eksplicit at medtage PCR7 og kontrollere msinfo32.exe for deres PCR7-bindingsstatus, før du installerer denne opdatering. (Se valgmulighed 1 nedenfor).
Løsning
Mulighed 1: Fjern Gruppepolitik-konfigurationen, før du installerer opdateringen (anbefales)
-
Åbn Gruppepolitik Editor (gpedit.msc) eller administrationskonsollen til Gruppepolitik.
-
Naviger til: Computerkonfiguration > administrative skabeloner > Windows-komponenter > BitLocker-drevkryptering > operativsystemdrev.
-
Angiv "Configure TPM platform validation profile for native UEFI firmware configurations" to "Not Configured".
-
Kør følgende kommando på berørte enheder for at overføre politikændringen: gpupdate /force
-
Kør følgende kommando for at afbryde BitLocker midlertidigt (hvor BitLocker er aktiveret på C:-drevet): manage-bde -protectors -disable C:
-
Kør følgende kommando for at fortsætte BitLocker (hvor BitLocker er aktiveret på C:-drevet): manage-bde -protectors -enable C:
-
Dette opdaterer BitLocker-bindingerne til at bruge den Windows-valgte standard-PCR-profil.
Mulighed 2: Anvend annullering af opdatering af kendt problem, før du installerer opdateringen
En annullering af kendt problem (KIR) er tilgængelig for kunder, der ikke kan fjerne pcR7-gruppepolitik, før denne opdatering installeres. KIR forhindrer automatisk skift til 2023 Boot Manager, så BitLocker-genoprettelsesudløseren undgås. KIR'en skal installeres, før opdateringen installeres på berørte enheder. Kontakt Microsofts support til virksomheder for at få denne KIR.
Næste trin
Der er planlagt en permanent løsning på dette problem i en fremtidig Windows-opdatering. Der vil blive givet flere oplysninger, når de er tilgængelige.
Gælder for: Windows 10 Enterprise LTSC 2021 og Windows 10 IoT Enterprise LTSC 2021
Vigtigt!: Brug EKB-KB5003791 til at opdatere til Windows 10 version 21H2 på understøttede udgaver.
Denne sikkerhedsopdatering indeholder rettelser og kvalitetsforbedringer, der er en del af følgende opdateringer:
Følgende er en oversigt over de problemer, som denne opdatering løser, når du installerer denne opdatering. Hvis der er nye funktioner, vises de også på listen. Den fede tekst i de kantede parenteser angiver elementet eller området for den ændring, vi dokumenterer.
-
[Logon] Løst: Når du har installeret Windows-opdateringen, der blev udgivet den 10. marts 2026 eller derefter, kan nogle brugere opleve et problem med at logge på apps med en Microsoft-konto. Selv når enheden har en fungerende internetforbindelse, vises en "ingen internet"-fejl under logon og forhindrer adgang til Microsoft-tjenester og -apps som f.eks. Microsoft Teams.
-
[Licensering] Forbedret: Denne opdatering løser et problem, der påvirker oprettelse af ltsc-afbildninger (Long-Term Servicing Channel) ved hjælp af DISM (Deployment Image Servicing and Management). DISM-offlinehandlinger på nedenstående udgaver kunne ikke anvende sikkerhedsopdateringer på grund af begrænsninger i licenshåndhævelse. Nu kan du bruge DISM til at tilføje sikkerhedspakker under oprettelse af offlineafbildning for LTSC.
-
Windows 10 IoT Enterprise LTSC 2021
-
Windows 10 Enterprise G SKU
-
Windows 10 Enterprise N LTSC
-
-
[Fjernskrivebord] Denne opdatering forbedrer beskyttelsen mod phishingangreb, der bruger .rdp-filer (Fjernskrivebord). Når du åbner en .rdp-fil, viser Fjernskrivebord alle de ønskede forbindelsesindstillinger, før der oprettes forbindelse, og hver indstilling er som standard slået fra. Der vises også en engangssikkerhedsadvarsel, første gang du åbner en .rdp-fil på en enhed. Du kan få mere at vide under Om sikkerhedsadvarsler, når du åbner RDP-filer (Fjernskrivebord).
-
[Sikker bootstart]
-
Denne opdatering aktiverer dynamisk statusrapportering for tilstandene for sikker bootstart i Windows Sikkerhed-appen (Indstillinger > Opdatering & sikkerhed > Windows Sikkerhed). Få mere at vide om statusbeskeder via badges og meddelelser. Bemærk, at disse forbedringer som standard er deaktiveret på kommercielle enheder og servere.
-
Denne opdatering løser et problem, der kan medføre, at en enhed skifter til BitLocker-genoprettelse efter opdateringer til sikker bootstart.
-
Med denne opdatering indeholder kvalitetsopdateringer til Windows yderligere data til målretning af enheder med høj sikkerhed, hvilket øger dækningen af enheder, der er berettiget til automatisk at modtage nye certifikater til sikker bootstart. Enhederne modtager først de nye certifikater, når de har vist tilstrækkelige vellykkede opdateringssignaler og har vedligeholdt en kontrolleret og trinvis implementering.
-
Hvis du har installeret tidligere opdateringer, er det kun de nye opdateringer, der er indeholdt i denne pakke, der downloades og installeres på din enhed.
Du kan finde flere oplysninger om sikkerhedssårbarheder på det nye websted Sikkerhedsopdateringsvejledning og Sikkerheds-Opdateringer for april 2026.
Du kan få mere at vide om Windows Update-terminologi i artiklen om typerne af Windows-opdateringer og de månedlige kvalitetsopdateringstyper. Du kan få en oversigt over Windows 10 version 22H2 på siden med opdateringsoversigten.
BemærkFølg @WindowsUpdate for at finde ud af, hvornår nyt indhold udgives på dashboardet til Windows-tilstand.
Kendte problemer i denne opdatering
Symptom
Nogle enheder med en ikke-anbefalet BitLocker-Gruppepolitik konfiguration kan være nødvendige for at angive bitlocker-genoprettelsesnøglen på den første genstart, når du har installeret denne opdatering.
Dette problem påvirker kun et begrænset antal systemer, hvor ALLE følgende betingelser gælder. Det er usandsynligt, at disse betingelser findes på personlige enheder, der ikke administreres af it-afdelinger.
-
BitLocker er aktiveret på os-drevet.
-
Den Gruppepolitik "Configure TPM platform validation profile for native UEFI firmware configurations" er konfigureret, og PCR7 er inkluderet i valideringsprofilen (eller den tilsvarende registreringsdatabasenøgle angives manuelt).
-
Systemoplysninger (msinfo32.exe) rapporterer Secure Boot State PCR7 Binding som "Ikke muligt".
-
Windows UEFI CA 2023-certifikatet findes i enhedens DB-database (Secure Boot Signature Database), hvilket gør enheden berettiget til, at den 2023-signerede Windows Boot Manager gøres til standard.
-
Enheden kører ikke allerede den 2023-signerede Windows Boot Manager.
I dette scenarie skal BitLocker-genoprettelsesnøglen kun angives én gang – efterfølgende genstarter udløser ikke en BitLocker-genoprettelsesskærm, så længe konfigurationen af gruppepolitik forbliver uændret. Du kan finde hjælp til at finde din BitLocker-genoprettelsesnøgle i artiklen Find din BitLocker-genoprettelsesnøgle.
Virksomheder anbefales at overvåge deres BitLocker-gruppepolitikker for eksplicit at medtage PCR7 og kontrollere msinfo32.exe for deres PCR7-bindingsstatus, før du installerer denne opdatering. (Se valgmulighed 1 nedenfor).
Løsning
Mulighed 1: Fjern Gruppepolitik-konfigurationen, før du installerer opdateringen (anbefales)
-
Åbn Gruppepolitik Editor (gpedit.msc) eller administrationskonsollen til Gruppepolitik.
-
Naviger til: Computerkonfiguration > administrative skabeloner > Windows-komponenter > BitLocker-drevkryptering > operativsystemdrev.
-
Angiv "Configure TPM platform validation profile for native UEFI firmware configurations" to "Not Configured".
-
Kør følgende kommando på berørte enheder for at overføre politikændringen: gpupdate /force
-
Kør følgende kommando for at afbryde BitLocker midlertidigt (hvor BitLocker er aktiveret på C:-drevet): manage-bde -protectors -disable C:
-
Kør følgende kommando for at fortsætte BitLocker (hvor BitLocker er aktiveret på C:-drevet): manage-bde -protectors -enable C:
-
Dette opdaterer BitLocker-bindingerne til at bruge den Windows-valgte standard-PCR-profil.
Mulighed 2: Anvend annullering af opdatering af kendt problem, før du installerer opdateringen
En annullering af kendt problem (KIR) er tilgængelig for kunder, der ikke kan fjerne pcR7-gruppepolitik, før denne opdatering installeres. KIR forhindrer automatisk skift til 2023 Boot Manager, så BitLocker-genoprettelsesudløseren undgås. KIR'en skal installeres, før opdateringen installeres på berørte enheder. Kontakt Microsofts support til virksomheder for at få denne KIR.
Næste trin
Der er planlagt en permanent løsning på dette problem i en fremtidig Windows-opdatering. Der vil blive givet flere oplysninger, når de er tilgængelige.
Windows 10 opdatering til behandlingsstakken (KB5084130) – version 19041.7183
Microsoft kombinerer nu den seneste opdatering til behandlingsstakken (SSU – servicing stack update) til dit operativsystem med den seneste akkumulerede opdatering (LCU – latest cumulative update). SSU'er forbedrer pålideligheden af opdateringsprocessen og indeholder rettelser til behandlingsstakken, som er den komponent, der installerer Windows-opdateringer.
Bemærk! Denne opdatering til behandlingsstakken (SSU) indeholder forbedret logik til at bekræfte, om en enhed er hostet på Azure, og udnytter en opdateret certifikatkæde til validering. Hvis du vil sikre, at enheden kan få adgang til de nødvendige domæner til certifikatopdatering for at kunne downloade og installere certifikatopdateringer, skal du se Lister over certifikatoverførsler og tilbagekaldelser og Azure oplysninger om nøglecenteret. Du kan få mere at vide om SSU'er under Opdateringer til behandlingsstakken.
Sådan henter du denne opdatering
Før du installerer denne opdatering
Vigtigt Du skal have den seneste Windows 10 opdatering til behandlingsstakken (SSU – servicing stack update) installeret. Hvis du ikke installerer den nyeste SSU, før du anvender Windows-opdateringer, kan det medføre, at Windows-opdateringen ikke tilbydes, før den seneste SSU er installeret.
Baseret på installationsscenariet skal du vælge et af følgende:
-
For offlinevedligeholdelse af afbildning af afbildninger af operativsystemet:
Hvis afbildningen ikke har den 25. juli 2023 (KB5028244) eller nyere LCU, skal du installere den særlige separate SSU (KB5031539), før du installerer denne opdatering.
-
Til Windows Server Update Services-installation (WSUS), eller når du installerer den separate pakke fra Microsoft Update-kataloget:
Hvis dine enheder ikke har den 11. maj 2021 (KB5003173) eller nyere LCU, skal du installere den særlige separate SSU (KB5005260), før du installerer denne opdatering.
Installér denne opdatering
Hvis du vil installere denne opdatering, skal du bruge en af følgende Windows- og Microsoft-udgivelseskanaler.
|
Tilgængelig |
Næste trin |
|
|
Denne opdatering downloades og installeres automatisk fra Windows Update. |
|
Tilgængelig |
Næste trin |
|
|
Denne opdatering downloades og installeres automatisk fra Windows Update for Business i overensstemmelse med konfigurerede politikker. |
|
Tilgængelig |
Næste trin |
|
|
Du kan få den separate pakke til denne opdatering ved at gå til webstedet Microsoft Update-katalog . Du kan få mere at vide om, hvordan du henter og installerer opdateringer fra opdateringskataloget, under Sådan hentes opdateringer, der indeholder drivere og hotfixes fra Windows Update-kataloget. |
|
Tilgængelig |
Næste trin |
|
|
Denne opdatering synkroniseres automatisk med Windows Server Update Services (WSUS), hvis du konfigurerer Produkter og klassifikationer på følgende måde:
Hvis du vil konfigurere din WSUS-server til at synkronisere baseret på produkter og klassificeringer, skal du se Synkronisere opdatering efter produkt og klassificering. Hvis du manuelt vil importere opdateringer til WSUS, skal du se Importér opdateringer til WSUS ved hjælp af PowerShell. |
Filoplysninger
En liste over de filer, som denne opdatering indeholder, findes i en CSV-fil (kommasepareret) (*.csv). Filen kan åbnes i et tekstredigeringsprogram, f.eks. Notesblok eller i Microsoft Excel.
Bemærk! Den engelske (USA) version af denne softwareopdatering kan indeholde filer til flere sprog.
Relaterede oplysninger
Hvis du vil fjerne denne opdatering
FORSIGTIGHED Før du beslutter dig for at fjerne denne opdatering, skal du se Forstå risiciene: Derfor bør du ikke fjerne sikkerhedsopdateringer.
Hvis du vil fjerne LCU efter installation af den kombinerede SSU- og LCU-pakke, skal du bruge kommandolinjeindstillingen DISM/Remove-Package med LCU-pakkenavnet som argument. Du kan finde pakkenavnet ved hjælp af denne kommando: DISM /online /get-packages.
Kørsel af Windows Update enkeltstående installationsprogram (wusa.exe) med parameteren /uninstall på den kombinerede pakke fungerer ikke, fordi den kombinerede pakke indeholder SSU' en. Du kan ikke fjerne SSU'en fra systemet efter installationen.
Meddelelse om opdateringer til Microsoft Store-programmer
Windows-opdateringer installerer ikke Microsoft Store-programopdateringer. Hvis du er virksomhedsbruger, skal du se Microsoft Store-apps – Configuration Manager. Hvis du er forbrugerbruger, skal du se Hent opdateringer til apps og spil i Microsoft Store.
Oplysninger om ophør af support
Windows 10, version 21H2/22H2 og ophør af support til Windows 10 Enterprise LTSC 2021
Microsoft vil ikke længere levere gratis softwareopdateringer fra Windows Update, teknisk support eller sikkerhedsrettelser til Windows 10:
♦ Windows 10, version 21H2: Support ophørte d. 13. juni 2023
♦ Windows 10 version 22H2: Support ophørte d. 14. oktober 2025
♦ Windows 10 Enterprise LTSC 2021: 12. januar 2027
♦ Windows 10 IoT Enterprise LTSC 2021: 13. januar 2032
Bemærk! Programmet Windows 10 ESU (Extended Security Updates) slutter d. 13. oktober 2026. Vi anbefaler, at du opgraderer til en nyere version af Windows.
