„Windows“ saugiosios įkrovos sertifikato galiojimo laikas
Svarbu: Saugiosios įkrovos sertifikatai, kuriuos naudoja dauguma „Windows“ įrenginių, nustos galioti nuo 2026 m. birželio mėn. Tai gali turėti įtakos tam tikrų asmeninių ir verslo įrenginių galimybėms saugiai įkrauti, jei laiku neatnaujinama. Kad išvengtumėte trikčių, rekomenduojame peržiūrėti rekomendacijas ir imtis veiksmų, kad sertifikatai būtų atnaujinti iš anksto.
Išsamios informacijos ir paruošimo veiksmus žr. „Windows“ saugiojo paleidimo sertifikato galiojimo laikas ir CA naujinimai.
Išsamios informacijos ir „Windows“ serverių paruošimo veiksmų ieškokite šiuose ištekliuose:
Suvestinė
Šiame straipsnyje išvardytos saugos problemos ir kokybės patobulinimai, įtraukti į šį kaupiamąjį saugos naujinimą.
Taikoma: Windows 10 ESU
Svarbu: Norėdami atnaujinti į Windows 10, 22H2 versiją, naudokite EKB KB5015684.
Šis saugos naujinimas apima pataisas ir kokybės patobulinimus, kurie yra šių naujinimų dalis:
Toliau pateikiama problemų, kurias šis naujinimas išsprendžia, kai diegiate šį naujinimą, santrauka. Jei yra naujų funkcijų, išvardijamos ir jos. Skliaustuose esantis paryškintasis tekstas nurodo dokumentuojamo keitimo elementą arba sritį.
-
[Nuotolinio darbalaukio saugos įspėjimai (žinoma problema)] Pataisyta: nuotolinio darbalaukio ryšio saugos įspėjimo langas gali būti rodomas netinkamai, kai konfigūruojamos kelių monitorių konfigūracijos su skirtingais ekrano mastelio keitimo parametrais. Ši problema gali kilti įdiegus "Windows" saugos naujinimą, išleistą 2026 m. balandžio 14 d. (KB5082200).
-
[Saugi įkrova]
-
Šis naujinimas įgalina dinamines saugiosios įkrovos būsenų ataskaitas "„Windows“ sauga" programoje.
-
Su šiuo naujinimu "Windows" kokybiniai naujinimai apima papildomus didelio patikimumo taikymo pagal įrenginius duomenis, padidinančius įrenginių, galinčių automatiškai gauti naujus saugiosios įkrovos sertifikatus, aprėptį. Įrenginiai gauna naujus sertifikatus tik tada, kai pademonstruoja pakankamus sėkmingo naujinimo signalus ir palaiko kontroliuojamą ir laipsnišką diegimą.
-
-
[ Vasaros laikas ] Egipto Arabų Respublikos atnaujinimas, skirtas paremti vyriausybės DST pakeitimo tvarką 2023 m.
Jei įdiegėte ankstesnius naujinimus, į įrenginį bus atsiųsti ir įdiegti tik nauji naujinimai, esantys šiame pakete.
Daugiau informacijos apie saugos pažeidžiamumus rasite naujoje saugos naujinimo vadovo svetainėje ir 2026 m. gegužės mėn. saugos naujinimai.
Informacijos apie "Windows" naujinimo terminiją ieškokite straipsnyje apie "Windows" naujinimų tipus ir mėnesinio kokybinio naujinimo tipus. "Windows 10" 22H2 versijos apžvalgą rasite jos naujinimo retrospektyvos puslapyje.
Žinomos problemos šiame naujinime
-
Įrenginiams su nerekomenduojama "BitLocker" Grupės strategijos konfigūracija gali reikėti įvesti "BitLocker" atkūrimo raktą Simptomai
Kai kuriuose įrenginiuose, kuriuose nustatyta nerekomenduojama „BitLocker“ grupės strategija, gali tekti įvesti „BitLocker“ atkūrimo raktą pirmą kartą paleidus įrenginį iš naujo po šio naujinimo įdiegimo.
Ši problema paveikia tik ribotą sistemų skaičių, kuriose galioja VISOS šios sąlygos. Mažai tikėtina, kad šios sąlygos bus rastos asmeniniuose įrenginiuose, kurių nevaldo IT skyriai.
-
„BitLocker“ įjungtas OS diske.
-
Grupės strategija „Konfigūruoti TPM platformos tikrinimo profilį vietinėms UEFI programinės-aparatinės įrangos konfigūracijoms” yra sukonfigūruota, o PCR7 įtrauktas į tikrinimo profilį (arba atitinkamas registro raktas nustatomas rankiniu būdu).
-
Sistemos informacijos (msinfo32.exe) praneša saugiosios įkrovos būsenos PCR7 susiejimą kaip „Neįmanoma“.
-
„Windows UEFI CA 2023“ sertifikatas yra įrenginio saugiosios įkrovos parašo duomenų bazėje (DB), todėl įrenginys gali gauti 2023 m. pasirašytą „Windows“ įkrovos tvarkytuvą kaip numatytąjį.
-
Įrenginyje dar nėra 2023 m. pasirašyto „Windows“ įkrovos tvarkytuvo.
Tokiu atveju „BitLocker“ atkūrimo raktą reikia įvesti tik vieną kartą – paskesni paleidimai iš naujo nesuaktyvins „BitLocker“ atkūrimo ekrano, kol grupės strategijos konfigūracija liks nepakitusi. Jei reikia pagalbos ieškant „BitLocker“ atkūrimo rakto, žr. Raskite savo „BitLocker“ atkūrimo raktą.
Įmonėms rekomenduojama prieš diegiant šį naujinimą patikrinti savo „BitLocker“ grupės strategijas dėl PCR7 įtraukimo ir patikrintimsinfo32.exe ar nėra PCR7 susiejimo būsenos.
Sprendimas
Stengiamės išspręsti problemą. Kai tik turėsime, pateiksime daugiau informacijos.
Norint laikinai išspręsti šią problemą, prieš diegiant naujinimą pašalinkite Grupės strategijos konfigūraciją (rekomenduojama)
-
Atidarykite Grupės strategijos rengyklę (gpedit.msc) arba Grupės strategijos valdymo konsolę.
-
Eikite į: Kompiuterio konfigūracija > Administravimo šablonai > „Windows“ komponentai > „BitLocker“ disko šifravimas > Operacinės sistemos diskai.
-
Nustatykite „Konfigūruoti TPM platformos tikrinimo profilį vietinėms UEFI programinės-aparatinės įrangos konfigūracijoms“ reikšmę į „Nesukonfigūruota“.
-
Paveiktuose įrenginiuose vykdykite šią komandą, kad pritaikytumėte strategijos pakeitimą: gpupdate /force
-
Vykdykite šią komandą, kad laikinai sustabdytumėte „BitLocker“ (kai „BitLocker“ įjungtas C: diske): manage-bde -protectors -disable C:
-
Norėdami tęsti „BitLocker“ veikimą (kai „BitLocker“ įjungtas C: diske), paleiskite šią komandą: manage-bde -protectors -enable C:
-
Tai atnaujina „BitLocker“ susiejimus, kad būtų naudojamas „Windows“ pasirinktas numatytasis PCR profilis.
-
Taikoma: "Windows 10 Enterprise LTSC 2021" ir "Windows 10 IoT Enterprise LTSC 2021"
Svarbu: EKB KB5003791 naudokite norėdami atnaujinti į Windows 10, 21H2 versiją palaikomuose leidimuose.
Šis saugos naujinimas apima pataisas ir kokybės patobulinimus, kurie yra šių naujinimų dalis:
Toliau pateikiama problemų, kurias šis naujinimas išsprendžia, kai diegiate šį naujinimą, santrauka. Jei yra naujų funkcijų, išvardijamos ir jos. Skliaustuose esantis paryškintasis tekstas nurodo dokumentuojamo keitimo elementą arba sritį.
-
[Nuotolinio darbalaukio saugos įspėjimai (žinoma problema)] Pataisyta: nuotolinio darbalaukio ryšio saugos įspėjimo langas gali būti rodomas netinkamai, kai konfigūruojamos kelių monitorių konfigūracijos su skirtingais ekrano mastelio keitimo parametrais. Ši problema gali kilti įdiegus "Windows" saugos naujinimą, išleistą 2026 m. balandžio 14 d. (KB5082200).
-
[Saugi įkrova]
-
Šis naujinimas įgalina dinamines saugiosios įkrovos būsenų ataskaitas "„Windows“ sauga" programoje.
-
Su šiuo naujinimu "Windows" kokybiniai naujinimai apima papildomus didelio patikimumo taikymo pagal įrenginius duomenis, padidinančius įrenginių, galinčių automatiškai gauti naujus saugiosios įkrovos sertifikatus, aprėptį. Įrenginiai gauna naujus sertifikatus tik tada, kai pademonstruoja pakankamus sėkmingo naujinimo signalus ir palaiko kontroliuojamą ir laipsnišką diegimą.
-
-
[ Vasaros laikas ] Egipto Arabų Respublikos atnaujinimas, skirtas paremti vyriausybės DST pakeitimo tvarką 2023 m.
Jei įdiegėte ankstesnius naujinimus, į įrenginį bus atsiųsti ir įdiegti tik nauji naujinimai, esantys šiame pakete.
Daugiau informacijos apie saugos pažeidžiamumus rasite naujoje saugos naujinimo vadovo svetainėje ir 2026 m. gegužės mėn. saugos naujinimai.
Informacijos apie "Windows" naujinimo terminiją ieškokite straipsnyje apie "Windows" naujinimų tipus ir mėnesinio kokybinio naujinimo tipus. "Windows 10" 22H2 versijos apžvalgą rasite jos naujinimo retrospektyvos puslapyje.
Žinomos problemos šiame naujinime
-
Įrenginiams su nerekomenduojama "BitLocker" Grupės strategijos konfigūracija gali reikėti įvesti "BitLocker" atkūrimo raktą Simptomai
Kai kuriuose įrenginiuose, kuriuose nustatyta nerekomenduojama „BitLocker“ grupės strategija, gali tekti įvesti „BitLocker“ atkūrimo raktą pirmą kartą paleidus įrenginį iš naujo po šio naujinimo įdiegimo.
Ši problema paveikia tik ribotą sistemų skaičių, kuriose galioja VISOS šios sąlygos. Mažai tikėtina, kad šios sąlygos bus rastos asmeniniuose įrenginiuose, kurių nevaldo IT skyriai.
-
„BitLocker“ įjungtas OS diske.
-
Grupės strategija „Konfigūruoti TPM platformos tikrinimo profilį vietinėms UEFI programinės-aparatinės įrangos konfigūracijoms” yra sukonfigūruota, o PCR7 įtrauktas į tikrinimo profilį (arba atitinkamas registro raktas nustatomas rankiniu būdu).
-
Sistemos informacijos (msinfo32.exe) praneša saugiosios įkrovos būsenos PCR7 susiejimą kaip „Neįmanoma“.
-
„Windows UEFI CA 2023“ sertifikatas yra įrenginio saugiosios įkrovos parašo duomenų bazėje (DB), todėl įrenginys gali gauti 2023 m. pasirašytą „Windows“ įkrovos tvarkytuvą kaip numatytąjį.
-
Įrenginyje dar nėra 2023 m. pasirašyto „Windows“ įkrovos tvarkytuvo.
Tokiu atveju „BitLocker“ atkūrimo raktą reikia įvesti tik vieną kartą – paskesni paleidimai iš naujo nesuaktyvins „BitLocker“ atkūrimo ekrano, kol grupės strategijos konfigūracija liks nepakitusi. Jei reikia pagalbos ieškant „BitLocker“ atkūrimo rakto, žr. Raskite savo „BitLocker“ atkūrimo raktą.
Įmonėms rekomenduojama prieš diegiant šį naujinimą patikrinti savo „BitLocker“ grupės strategijas dėl PCR7 įtraukimo ir patikrintimsinfo32.exe ar nėra PCR7 susiejimo būsenos.
Sprendimas
Stengiamės išspręsti problemą. Kai tik turėsime, pateiksime daugiau informacijos.
Norint laikinai išspręsti šią problemą, prieš diegiant naujinimą pašalinkite Grupės strategijos konfigūraciją (rekomenduojama)
-
Atidarykite Grupės strategijos rengyklę (gpedit.msc) arba Grupės strategijos valdymo konsolę.
-
Eikite į: Kompiuterio konfigūracija > Administravimo šablonai > „Windows“ komponentai > „BitLocker“ disko šifravimas > Operacinės sistemos diskai.
-
Nustatykite „Konfigūruoti TPM platformos tikrinimo profilį vietinėms UEFI programinės-aparatinės įrangos konfigūracijoms“ reikšmę į „Nesukonfigūruota“.
-
Paveiktuose įrenginiuose vykdykite šią komandą, kad pritaikytumėte strategijos pakeitimą: gpupdate /force
-
Vykdykite šią komandą, kad laikinai sustabdytumėte „BitLocker“ (kai „BitLocker“ įjungtas C: diske): manage-bde -protectors -disable C:
-
Norėdami tęsti „BitLocker“ veikimą (kai „BitLocker“ įjungtas C: diske), paleiskite šią komandą: manage-bde -protectors -enable C:
-
Tai atnaujina „BitLocker“ susiejimus, kad būtų naudojamas „Windows“ pasirinktas numatytasis PCR profilis.
-
Windows 10 priežiūros rietuvės naujinimas (KB5084130) – 19041.7183 versija
Dabar "Microsoft" sujungia naujausią jūsų operacinės sistemos priežiūros rietuvės naujinimą (SSU) su naujausiu kaupiamuoju naujinimu (LCU). SSU pagerina naujinimo proceso patikimumą ir apima priežiūros rietuvės – komponento, kuris įdiegia "Windows" naujinimus – pataisas.
Pastaba. Į šį priežiūros rietuvės naujinimą (SSU) įtraukta patobulinta logika, skirta patikrinti, ar įrenginys laikomas "Azure", tikrinant naudojant atnaujintą sertifikatų grandinę. Norėdami užtikrinti, kad įrenginys gali pasiekti reikiamus sertifikatų naujinimo domenus, kad galėtų sėkmingai atsisiųsti ir įdiegti sertifikatų naujinimus, žr. Sertifikatų atsisiuntimai ir atšaukimo sąrašai bei "Azure" sertifikavimo institucijos informacija. Norėdami sužinoti daugiau apie SSU, žr. Priežiūros rietuvės naujinimai.
Kaip gauti šį naujinimą
Prieš įdiegdami šį naujinimą
Svarbu neberekomenduojame naudoti „Visio Services“ ir „Visio Web Access" puslapio dalies „SharePoint Online“. Turite įdiegti naujausią priežiūros rietuvės naujinimą (SSU). Neįdiegus naujausio SSU prieš taikant "Windows" naujinimus, "Windows" naujinimas gali būti nesiūlomas, kol nebus įdiegtas naujausias SSU.
Diegimas
Jei įdiegsite šį naujinimą, pasirinkite vieną iš toliau nurodytų veiksmų, atsižvelgdami į savo diegimo scenarijų:
Autonominės OS atvaizdų priežiūrai
-
Jei jūsų atvaizdas neturi 2023 m. liepos 25 d. (KB5028244) arba naujesnio LCU, prieš diegdami šį naujinimą turite įdiegti specialų atskirą 2023 m. spalio 13 d. SSU (KB5031539).
Diegiant "Windows Server Update Services" (WSUS) arba diegiant atskirą paketą iš "Microsoft Update" katalogo
Gaukite ir įdiekite šį naujinimą
Norėdami gauti ir įdiegti šį naujinimą, naudokite vieną iš šių "Windows" ir "Microsoft" leidimo kanalų.
|
Pasiekiamas |
Kitas veiksmas |
|
|
Šis naujinimas bus automatiškai atsiųstas ir įdiegtas iš „Windows Update“. |
|
Pasiekiamas |
Kitas veiksmas |
|
|
Šis naujinimas bus automatiškai atsiųstas ir įdiegtas iš "„Windows Update“ for Business" pagal sukonfigūruotas strategijas. |
|
Pasiekiamas |
Kitas veiksmas |
|
|
Norėdami gauti atskirą šio naujinimo paketą, eikite į "Microsoft Update" katalogo svetainę. Informacijos apie tai, kaip atsisiųsti ir įdiegti naujinimus iš naujinimų katalogo, ieškokite Kaip atsisiųsti naujinimus, kuriuose yra tvarkyklių ir karštųjų pataisų iš "„Windows Update“" katalogo. |
|
Pasiekiamas |
Kitas veiksmas |
|
|
Šis naujinimas bus automatiškai sinchronizuojamas su "Windows Server Update Services" (WSUS), jei produktus ir klasifikaciją sukonfigūruosite šiuo būdu:
Norėdami nustatyti WSUS serverį sinchronizuoti pagal produktus ir klasifikacijas, žr. Naujinimo sinchronizavimas pagal produktą ir klasifikaciją. Norėdami rankiniu būdu importuoti naujinimus į WSUS, žr. Naujinimų importavimas į WSUS naudojant "PowerShell". |
Failo informacija
Į šį naujinimą įtrauktų failų sąrašas pateikiamas CSV (kableliais atskirtos reikšmės) (*.csv) faile. Failą galima atidaryti teksto rengykle, pvz., užrašine arba "Microsoft Excel".
Pastaba. Šio programinės įrangos naujinimo anglų kalbos (Jungtinės Valstijos) versijoje gali būti failų, skirtų papildomoms kalboms.
Susijusi informacija
Jei norite pašalinti šį naujinimą
ATSARGIAI Prieš nuspręsdami pašalinti šį naujinimą, žr. Rizikos supratimas: kodėl neturėtumėte pašalinti saugos naujinimų.
Norėdami pašalinti LCU įdiegę sujungtą SSU ir LCU paketą, naudokite komandų eilutės parinktį DISM/Remove-Package su LCU paketo pavadinimu kaip argumentu. Paketo pavadinimą galite rasti naudodami šią komandą: DISM /online /get-packages.
Paleidus „Windows Update“ atskirąją diegimo programą (wusa.exe) su jungikliu /uninstall kombinuotame pakete neveiks, nes kombinuotame pakete yra SSU. Įdiegę SSU negalite pašalinti iš sistemos.
Pranešimas apie "Microsoft Store" programų naujinimus
"Windows" naujinimai neįdiegia "Microsoft Store" programų naujinimų. Jei esate įmonės vartotojas, žr. "Microsoft Store" programėlės – Configuration Manager. Jei esate vartotojas, žr. Programėlių ir žaidimų naujinimų gavimas "Microsoft Store".
Informacija apie palaikymo pabaigą
„Windows 10“, versijų 21H2 ir 22H2 ir „Windows 10 Enterprise LTSC 2021“ palaikymo pabaiga
„Microsoft“ nebeteikia nemokamų programinės įrangos naujinimų iš „Windows Update“, techninės pagalbos arba saugos pataisų šiomis pabaigos datomis:
♦ „Windows 10“, 21H2 versija: palaikymas nutrauktas 2023 m. birželio 13 d.
♦ „Windows 10“, 22H2 versija: palaikymas nutrauktas 2025 m. spalio 14 d.
♦ „Windows 10 Enterprise LTSC 2021“: 2027 m. sausio 12 d.
♦ “Windows 10 IoT Enterprise LTSC 2021“: 2032 m. sausio 13 d.
Pastaba. Norėdami ir toliau gauti kritinius ir svarbius „Windows 10“ saugos naujinimus, žr. „Windows 10“ išplėstinius saugos naujinimus (ESU). Kitu atveju rekomenduojame atnaujinti į naujesnę „Windows“ versiją.
