Į šį kaupiamąjį naujinimą, skirtą 2025 Windows Server (KB5087539 ), įtrauktos naujausios saugos pataisos ir patobulinimai, taip pat ne saugos naujinimai iš praėjusio mėnesio pasirinktinės peržiūros leidimo. Norėdami sužinoti daugiau apie skirtumus tarp saugos naujinimų, pasirinktinių ne saugos peržiūros naujinimų, į diapazoną neįtrauktų (OOB) naujinimų ir nuolatinių naujovių, žr. "Windows" mėnesio naujinimų paaiškinimą. Informacijos apie "Windows Update" terminiją ieškokite skirtingų tipų "Windows" programinės įrangos naujinimų.
Norėdami peržiūrėti naujausius šio leidimo naujinimus, apsilankykite "Windows" leidimo sveikatos ataskaitų srityje arba "Windows Server 2025" naujinimų istorijos puslapyje.
Skelbimai ir pranešimai
Šioje dalyje pateikiami pagrindiniai pranešimai, susiję su šiuo leidimu, įskaitant pranešimus, pakeitimų žurnalus ir pranešimus apie palaikymo pabaigą.
„Windows“ saugiosios įkrovos sertifikato galiojimo laikas
Svarbu: saugiosios įkrovos sertifikatai, kuriuos naudoja dauguma "Windows" įrenginių, nustos galioti nuo 2026 m. birželio mėn. Tai gali turėti įtakos tam tikrų asmeninių ir verslo įrenginių galimybėms saugiai įkrauti, jei laiku neatnaujinama. Kad išvengtumėte trikčių, rekomenduojame peržiūrėti rekomendacijas ir imtis veiksmų, kad sertifikatai būtų atnaujinti iš anksto. Išsamios informacijos ir paruošimo veiksmų ieškokite "Windows" saugiosios įkrovos sertifikato galiojimo laikas ir CA naujinimai bei "Windows Server Secure Playbook" tinklaraštis.
Patobulinimai
Šiame saugos naujinime yraKB5082063 (išleista 2026 m. balandžio 14 d.) ir KB5091157 (išleista 2026 m. balandžio 19 d.) pataisymų ir kokybės patobulinimų . Toliau pateiktoje suvestinėje nurodomos pagrindinės problemos, išspręstos šio naujinimo. Taip pat įtrauktos naujos funkcijos. Skliaustuose esantis paryškintasis tekstas nurodo pakeitimo elementą arba sritį.
-
[Saugi įkrova]Su šiuo naujinimu "Windows" kokybiniai naujinimai apima papildomus didelio patikimumo taikymo pagal įrenginius duomenis, padidinančius įrenginių, galinčių automatiškai gauti naujus saugiosios įkrovos sertifikatus, aprėptį. Įrenginiai gauna naujus sertifikatus tik tada, kai pademonstruoja pakankamus sėkmingo naujinimo signalus ir palaiko kontroliuojamą ir laipsnišką diegimą.
-
[Ryšys] Šis naujinimas pagerina paprastojo tarnybos aptikimo protokolo (SSDP) pranešimų patikimumą, kad tarnyba nenustotų reaguoti į komandas.
-
[ Vasaros laikas (DST) ] Šis naujinimas palaiko 2023 m. vasaros laiko pakeitimą Egipto Arabų Respublikai.
-
[Domeno valdikliai] Šis naujinimas pagerina vietinės apsaugos institucijos posistemės tarnybos (LSASS) veikimą domeno valdikliuose, kai įjungta "Microsoft Defender". Tai sumažina CPU ir atminties naudojimą "Event Tracing for Windows" IDL_DRSGetNCChanges įvykių rinkimo metu.
-
[Nuotolinis darbalaukis (žinoma problema)] Išspręsta: šis naujinimas išsprendžia problemą, kuri turi įtakos nuotolinio darbalaukio ryšio saugos įspėjimo langui. Dialogo langas galėjo būti atvaizduojamas netinkamai kelių monitorių scenarijuje, kai monitoriuose buvo nustatytas skirtingas mastelio keitimas. Taip gali nutikti įdiegus 2026 m. balandžio mėn. (KB5082063) saugos naujinimą. Daugiau informacijos rasite skyriuje Saugos įspėjimų supratimas atidarant nuotolinio darbalaukio (RDP) failus.
-
[Prisijungti] Įdiegus "Windows" naujinimą, išleistą 2026 m. kovo 10 d. arba vėliau, kai kuriems vartotojams gali kilti problemų prisijungiant prie programų naudojant "Microsoft" paskyrą. Net jei įrenginyje veikia interneto ryšys, prisijungiant rodoma klaida "nėra interneto" ir ji neleidžia pasiekti "Microsoft" paslaugų ir programų, pvz., "Microsoft Teams".
Jei jau įdiegėte ankstesnius naujinimus, įrenginys atsisiųs ir įdiegs tik naujus naujinimus, įtrauktus į šį paketą.
Daugiau informacijos apie saugos pažeidžiamumus rasite saugos naujinimo vadove ir 2026 m. gegužės mėn. saugos naujinimai.
Windows Server 2025 priežiūros rietuvės naujinimas (KB5089717) – 26100.32837
Šiame naujinime įtraukti priežiūros rietuvės, kuri yra „Windows“ naujinimų diegimo komponentas, kokybės patobulinimai. Priežiūros rietuvės naujinimai (SSU) užtikrina, kad turite patikimą priežiūros rietuvę, kad jūsų įrenginiai galėtų gauti ir įdiegti "Microsoft" naujinimus. Norėdami sužinoti daugiau apie SSU, žr. Priežiūros rietuvės naujinimų diegimo vietiniame kompiuteryje supaprastinimas.
Žinomos problemos šiame naujinime
Požymis
Kai kuriuose įrenginiuose, kuriuose nustatyta nerekomenduojama „BitLocker“ grupės strategija, gali tekti įvesti „BitLocker“ atkūrimo raktą pirmą kartą paleidus įrenginį iš naujo po šio naujinimo įdiegimo.
Ši problema turi įtakos tik ribotam skaičiui sistemų, kuriose atitinka VISOS toliau nurodytos sąlygos. Mažai tikėtina, kad šios sąlygos bus rastos asmeniniuose įrenginiuose, kurių nevaldo IT skyriai.
-
„BitLocker“ įjungtas OS diske.
-
Grupės strategija „Konfigūruoti TPM platformos tikrinimo profilį vietinėms UEFI programinės-aparatinės įrangos konfigūracijoms” yra sukonfigūruota, o PCR7 įtrauktas į tikrinimo profilį (arba atitinkamas registro raktas nustatomas rankiniu būdu).
-
Sistemos informacijos (msinfo32.exe) praneša saugiosios įkrovos būsenos PCR7 susiejimą kaip „Neįmanoma“.
-
„Windows UEFI CA 2023“ sertifikatas yra įrenginio saugiosios įkrovos parašo duomenų bazėje (DB), todėl įrenginys gali gauti 2023 m. pasirašytą „Windows“ įkrovos tvarkytuvą kaip numatytąjį.
-
Įrenginyje dar nėra 2023 m. pasirašyto „Windows“ įkrovos tvarkytuvo.
Tokiu atveju „BitLocker“ atkūrimo raktą reikia įvesti tik vieną kartą – paskesni paleidimai iš naujo nesuaktyvins „BitLocker“ atkūrimo ekrano, kol grupės strategijos konfigūracija liks nepakitusi. Jei reikia pagalbos ieškant "BitLocker" atkūrimo rakto, žr. straipsnį "BitLocker" atkūrimo rakto radimas".
Įmonėms rekomenduojama prieš diegiant šį naujinimą patikrinti savo „BitLocker“ grupės strategijas dėl PCR7 įtraukimo ir patikrintimsinfo32.exe ar nėra PCR7 susiejimo būsenos. (Žr. toliau pateiktą sprendimo būdą.)
Sprendimo būdas
Prieš diegdami naujinimą, pašalinkite Grupės strategijos konfigūraciją (rekomenduojama)
-
Atidarykite Grupės strategijos rengyklę (gpedit.msc) arba Grupės strategijos valdymo konsolę.
-
Eikite į: Kompiuterio konfigūracija > Administravimo šablonai > „Windows“ komponentai > „BitLocker“ disko šifravimas > Operacinės sistemos diskai.
-
Nustatykite „Konfigūruoti TPM platformos tikrinimo profilį vietinėms UEFI programinės-aparatinės įrangos konfigūracijoms“ reikšmę į „Nesukonfigūruota“.
-
Paveiktuose įrenginiuose vykdykite šią komandą, kad pritaikytumėte strategijos pakeitimą: gpupdate /force
-
Vykdykite šią komandą, kad laikinai sustabdytumėte „BitLocker“ (kai „BitLocker“ įjungtas C: diske): manage-bde -protectors -disable C:
-
Norėdami tęsti „BitLocker“ veikimą (kai „BitLocker“ įjungtas C: diske), paleiskite šią komandą: manage-bde -protectors -enable C:
-
Tai atnaujina „BitLocker“ susiejimus, kad būtų naudojamas „Windows“ pasirinktas numatytasis PCR profilis.
Nuolatinis šios problemos sprendimas planuojamas būsimame "Windows" naujinime. Daugiau informacijos bus pateikta, kai ji bus pasiekiama.
Įdiegus KB5070881 ar naujesnius naujinimus, „Windows Server“ naujinimo tarnybos (WSUS) klaidų ataskaitose nerodo sinchronizavimo klaidos informacijos. Ši funkcija laikinai pašalinama siekiant išspręsti nuotolinio kodo vykdymo pažeidžiamumą, CVE-2025-59287.
Kaip gauti šį naujinimą
Prieš įdiegdami šį naujinimą
"Microsoft" sujungia naujausią jūsų operacinės sistemos priežiūros rietuvės naujinimą (SSU) su naujausiu kaupiamuoju naujinimu (LCU). Bendros informacijos apie SSU žr. Priežiūros rietuvės naujinimai.
Diegti šį naujinimą
Norėdami įdiegti šį naujinimą, naudokite vieną iš šių "Windows" ir "Microsoft" leidimo kanalų.
|
Pasiekiamas |
Kitas veiksmas |
|
|
|
Šis naujinimas automatiškai atsisiunčiamas ir įdiegiamas iš "„Windows Update“" ir "Microsoft Update". |
|
Pasiekiamas |
Kitas veiksmas |
|
|
Šis naujinimas automatiškai atsisiunčia ir įdiegia iš "„Windows Update“ for Business" pagal sukonfigūruotas strategijas. |
|
Pasiekiamas |
Kitas veiksmas |
|||||
|
|
Norėdami įdiegti šį leidimą iš "Microsoft Update" katalogo, vadovaukitės šiomis instrukcijomis:Prieš diegiant šį naujinimą, atskiro (-ų) šio naujinimo paketų galima gauti "Microsoft Update" katalogo svetainėje. Šiame KB yra vienas ar daugiau MSU failų, kuriuos reikia įdiegti tam tikra tvarka. Galite įdiegti šį naujinimą naudodami 1 būdą (įdiekite visus MSU failus kartu) arba 2 būdą (įdiekite kiekvieną MSU failą atskirai, eilės tvarka). 1 būdas: įdiekite visus MSU failus kartu Atsisiųskite visus KB5087539 MSU failus iš "Microsoft Update" katalogo ir padėkite juos į tą patį aplanką (pvz., C:/Paketai). Naudokite diegimo atvaizdų priežiūros ir valdymo (DISM.exe) funkciją, kad įdiegtumėte tikslinį naujinimą. DISM naudos aplanką, nurodytą PackagePath , kad aptiktų ir įdiegtų vieną ar daugiau būtinų MSU failų, jei reikia. "Windows" kompiuterio naujinimas Norėdami taikyti šį naujinimą veikiančiame "Windows" kompiuteryje, vykdykite šią komandą didesnių teisių komandinėje eilutėje:
Arba paleiskite šią komandą iš didesnių teisių "Windows PowerShell" eilutės:
Arba naudokite "„Windows Update“" atskirą diegimo programą, kad įdiegtumėte tikslinį naujinimą. "Windows" diegimo laikmenos naujinimas Norėdami taikyti šį naujinimą "Windows" diegimo laikmenai, žr. "Windows" diegimo laikmenos naujinimas naudojant dinaminį naujinimą. Pastaba: Atsisiųsdami kitus dinaminio naujinimo paketus, įsitikinkite, kad jie sutampa su tuo pačiu mėnesiu, kaip ir šiame KB. Jei "SafeOS" dinaminis naujinimas arba sąrankos dinaminis naujinimas nepasiekiamas tą patį mėnesį kaip šis KB, naudokite naujausią publikuotą kiekvieno iš jų versiją. Norėdami įtraukti šį naujinimą į prikabintą vaizdą, vykdykite šią didesnių teisių komandinės eilutės komandą:
Arba paleiskite šią komandą iš didesnių teisių "Windows PowerShell" eilutės:
2 būdas: Įdiekite kiekvieną MSU failą atskirai, eilės tvarka Atsisiųskite ir įdiekite kiekvieną MSU failą atskirai naudodami DISM arba "„Windows Update“ Standalone Installer" tokia tvarka:
|
|
Pasiekiamas |
Kitas veiksmas |
|
|
Šis naujinimas bus automatiškai sinchronizuojamas su "Windows Server Update Services" (WSUS), jei produktus ir klasifikaciją sukonfigūruosite šiuo būdu: Produktas: "Microsoft Server" operacinė sistema – 24H2 Klasifikacija: Saugos naujinimai |
Jei norite pašalinti šį naujinimą
Prieš nuspręsdami pašalinti šį naujinimą, žr. Rizikos supratimas: kodėl neturėtumėte pašalinti saugos naujinimų.
Norėdami pašalinti LCU įdiegę sujungtą SSU ir LCU paketą, naudokite komandų eilutės parinktį DISM/Remove-Package su LCU paketo pavadinimu kaip argumentu. Paketo pavadinimą galite rasti naudodami šią komandą: DISM /online /get-packages.
Paleidus „Windows Update“ atskirąją diegimo programą (wusa.exe) su jungikliu /uninstall kombinuotame pakete neveiks, nes kombinuotame pakete yra SSU. Įdiegę SSU negalite pašalinti iš sistemos.
Failo informacija
Norėdami gauti į šį naujinimą įtrauktų failų sąrašą, atsisiųskite kaupiamojo naujinimo 5087539 failo informaciją.
Norėdami gauti į priežiūros rietuvės naujinimą įtrauktų failų sąrašą, atsisiųskite SSU (KB5089717) 26100.32837 versijos failo informaciją.
