Questo aggiornamento fuori banda per Windows Server 2025 (KB5091157) è un aggiornamento cumulativo non relativo alla sicurezza.
Miglioramenti
Questo aggiornamento fuori banda contiene miglioramenti della qualità di KB5082063 (rilasciato il 14 aprile 2026). Il riepilogo seguente illustra i problemi principali risolti da questo aggiornamento fuori banda. Il testo in grassetto racchiuso tra parentesi quadre indica l'elemento o l'area della modifica.
-
[Controller di dominio (problema noto)] Risolto: dopo l'installazione dell'aggiornamento della sicurezza di Windows (KB5082063) e del riavvio del 14 aprile 2026, i controller di dominio con foreste multidominio che usano gestione degli accessi privilegiati potrebbero riscontrare problemi di avvio. In alcuni casi, Local Security Authority Subsystem Service (LSASS) potrebbe bloccarsi, causando riavvii ripetuti e impedendo l'autenticazione e i servizi directory, che possono rendere il dominio non disponibile.
-
[Installazione di Windows Update] Risolto: un numero limitato di dispositivi Windows Server 2025 potrebbe non riuscire a installare l'aggiornamento della sicurezza di Windows del 14 aprile 2026 (KB5082063).Fixed: A small number of Windows Server 2025 devices might fail to install the april 14, 2026, Windows security update (KB5082063). Quando si verifica questo problema, i dispositivi interessati potrebbero visualizzare uno dei seguenti messaggi di errore: "Errore di installazione: 0x800F0983" o "Alcuni file di aggiornamento sono mancanti o hanno problemi. Cercheremo di scaricare di nuovo l'aggiornamento più tardi. Codice errore: 0x80073712".
Se hai installato aggiornamenti precedenti, il dispositivo scarica e installa solo i nuovi aggiornamenti contenuti in questo pacchetto.
Nota I dispositivi con aggiornamento hotpatch registrati Windows Server 2025 interessati dal problema di installazione KB5082063 possono installare questo aggiornamento OOB per le stesse protezioni. In questo modo, tuttavia, sarà necessario un riavvio e gli aggiornamenti di hotpatch non riprenderanno fino all'aggiornamento di base di luglio 2026.
Aggiornamento dello stack di manutenzione di Windows Sever 2025 (KB5082062) -26100.32692
Questo aggiornamento offre miglioramenti qualitativi allo stack di manutenzione, che è il componente che installa gli aggiornamenti per Windows. Gli aggiornamenti degli stack di manutenzione garantiscono uno stack di manutenzione affidabile e affidabile, in modo che i dispositivi possano ricevere e installare gli aggiornamenti Microsoft. Per altre informazioni sugli aggiornamenti degli stack di manutenzione, vedere Semplificare la distribuzione locale degli aggiornamenti degli stack di manutenzione.
Problemi noti in questo aggiornamento
Sintomo
Per immettere la chiave di ripristino di BitLocker al primo riavvio dopo l'installazione di questo aggiornamento, alcuni dispositivi con una configurazione di BitLocker Criteri di gruppo non consigliata potrebbero essere necessari.
Questo problema interessa solo un numero limitato di sistemi in cui tutte le condizioni seguenti sono vere. È improbabile che queste condizioni si trovino nei dispositivi personali non gestiti dai reparti IT.
-
BitLocker è abilitato nell'unità del sistema operativo.
-
Viene configurato il Criteri di gruppo "Configurare il profilo di convalida della piattaforma TPM per le configurazioni firmware UEFI native" e PCR7 è incluso nel profilo di convalida (o la chiave del Registro di sistema equivalente è impostata manualmente).
-
System Information (msinfo32.exe) segnala Secure Boot State PCR7 Binding come "Not Possible".
-
Il certificato CA 2023 DELLA UEFI di Windows è presente nel database della firma di avvio protetto del dispositivo, rendendo il dispositivo idoneo per l'impostazione predefinita di Gestione avvio di Windows firmato 2023.
-
Il dispositivo non esegue già Windows Boot Manager con firma 2023.
In questo scenario, la chiave di ripristino di BitLocker deve essere immessa una sola volta. I riavvii successivi non attiveranno una schermata di ripristino di BitLocker, purché la configurazione di Criteri di gruppo rimanga invariata. Per informazioni su come trovare la chiave di ripristino di BitLocker, vedi l'articolo Trovare la chiave di ripristino di BitLocker.
È consigliabile che le aziende controllino i criteri di gruppo di BitLocker per l'inclusione esplicita di PCR7 e verifichino msinfo32.exe dello stato di associazione PCR7 prima di installare questo aggiornamento. Vedere l'opzione 1 di seguito.
Soluzione alternativa
Opzione 1: rimuovere la configurazione Criteri di gruppo prima di installare l'aggiornamento (scelta consigliata)
-
Apri Criteri di gruppo Editor (gpedit.msc) o Criteri di gruppo Management Console.
-
Passare a: Configurazione computer > Modelli amministrativi > componenti di Windows > crittografia unità BitLocker > unità del sistema operativo.
-
Imposta "Configura profilo di convalida della piattaforma TPM per le configurazioni firmware UEFI native" su "Non configurato".
-
Eseguire il comando seguente nei dispositivi interessati per propagare la modifica dei criteri: gpupdate /force
-
Esegui il seguente comando per sospendere BitLocker (dove BitLocker è abilitato nell'unità C:): manage-bde -protectors -disable C:
-
Esegui il comando seguente per riprendere BitLocker (dove BitLocker è abilitato nell'unità C:): manage-bde -protectors -enable C:
-
In questo modo, le associazioni BitLocker vengono aggiornate in modo da utilizzare il profilo PCR predefinito selezionato da Windows.
Opzione 2: applicare il ripristino dei problemi noti (KIR) prima di installare l'aggiornamento
È disponibile un aggiornamento KIR (Known Issue Rollback) per i clienti che non possono rimuovere i criteri di gruppo PCR7 prima di distribuire questo aggiornamento. Kir impedisce il passaggio automatico a Boot Manager 2023, evitando il trigger di ripristino di BitLocker. Il KIR deve essere distribuito prima di installare l'aggiornamento nei dispositivi interessati. Contatta il Supporto tecnico Microsoft per le aziende per ottenere questa KIR.
Una risoluzione permanente di questo problema è pianificata in un futuro aggiornamento di Windows. Ulteriori informazioni verranno fornite non appena disponibili.
Dopo l'installazione di KB5070881 o degli aggiornamenti più recenti, Windows Server Update Services (WSUS) non visualizza i dettagli degli errori di sincronizzazione nella relativa segnalazione degli errori. Questa funzionalità viene temporaneamente rimossa per risolvere la vulnerabilità di esecuzione di codice remoto, CVE-2025-59287.
Come ottenere l'aggiornamento
Prima di installare questo aggiornamento
Microsoft ora combina l'ultimo aggiornamento dello stack di manutenzione per il sistema operativo con l'aggiornamento cumulativo più recente. Per informazioni generali sugli aggiornamenti degli stack di manutenzione, vedi Aggiornamento dello stack di manutenzione.
Installa questo aggiornamento
Per installare questo aggiornamento, usa uno dei seguenti canali di rilascio Windows e Microsoft.
|
Disponibile |
Fase successiva |
|
|
Vedi le altre opzioni. |
|
Disponibile |
Fase successiva |
|
|
Vedi le altre opzioni. |
|
Disponibile |
Fase successiva |
|||||
|
|
Per installare questa versione da Microsoft Update Catalog, segui queste istruzioni: Prima di installare questo aggiornamento, i pacchetti autonomi per questo aggiornamento, vai al sito Web Microsoft Update Catalog. Questo KB contiene uno o più file dell'aggiornamento della sicurezza estesa che richiedono l'installazione in un ordine specifico. Puoi installare questo aggiornamento utilizzando il metodo 1 (installa tutti i file MSU insieme) o il metodo 2 (installa ogni file MSU singolarmente, in ordine). Metodo 1: installa tutti i file MSU insieme Scarica tutti i file dell'aggiornamento della sicurezza estesa per KB5091157 da Microsoft Update Catalog e posizionali nella stessa cartella (ad esempio, C:/Packages). Usare Gestione e manutenzione immagini distribuzione (DISM.exe) per installare l'aggiornamento di destinazione. Gestione e manutenzione immagini distribuzione userà la cartella specificata in PackagePath per individuare e installare uno o più file di aggiornamento della sicurezza estesa prerequisiti in base alle esigenze. Aggiornamento del PC Windows Per applicare questo aggiornamento a un PC Windows in esecuzione, esegui il comando seguente da un prompt dei comandi con privilegi elevati:
In alternativa, eseguire il comando seguente da un prompt Windows PowerShell con privilegi elevati:
In alternativa, usa Windows Update programma di installazione autonomo per installare l'aggiornamento di destinazione. Aggiornamento dei supporti di installazione di Windows Per applicare questo aggiornamento al supporto di installazione di Windows, vedi Aggiornare il supporto di installazione di Windows con l'aggiornamento dinamico. Nota: Quando scarichi altri pacchetti di aggiornamento dinamico, assicurati che corrispondano allo stesso mese di questo KB. Se l'aggiornamento dinamico di SafeOS o l'aggiornamento dinamico dell'installazione non è disponibile per lo stesso mese di questo KB, usa la versione pubblicata più di recente di ognuna. Per aggiungere questo aggiornamento a un'immagine montata, esegui il comando seguente da un prompt dei comandi con privilegi elevati:
In alternativa, eseguire il comando seguente da un prompt Windows PowerShell con privilegi elevati:
Metodo 2: installa ogni file MSU singolarmente, nell'ordine in cui Scarica e installa ogni file MSU singolarmente utilizzando Gestione e manutenzione immagini distribuzione o Windows Update programma di installazione autonomo nell'ordine seguente:
|
|
Disponibile |
Fase successiva |
|
|
Vedi le altre opzioni. |
Se vuoi rimuovere questo aggiornamento
Attenzione: prima di decidere di rimuovere questo aggiornamento, vedi Informazioni sui rischi: perché non è consigliabile disinstallare gli aggiornamenti della sicurezza.
Per rimuovere questo aggiornamento dopo aver installato il pacchetto combinato SSU e LCU, utilizza l'opzione della riga di comando DISM/Remove-Package con il nome del pacchetto LCU come argomento. Puoi trovare il nome del pacchetto utilizzando questo comando: DISM /online /get-packages.
L'esecuzione di Windows Update programma di installazione autonomo (wusa.exe) con l'opzione /uninstall nel pacchetto combinato non funzionerà perché il pacchetto combinato contiene l'aggiornamento dello stack di manutenzione. Non è possibile rimuovere l'aggiornamento dello stack di manutenzione dal sistema dopo l'installazione.
Informazioni sui file
Per un elenco dei file forniti in questo aggiornamento, scarica le informazioni sui file per l'aggiornamento fuori banda 5091157.
Per un elenco dei file forniti nell'aggiornamento dello stack di manutenzione, scarica le informazioni sui file per l'aggiornamento dello stack di manutenzione (KB5082062) - versione 26100.32692.
