Windows drošās palaišanas sertifikāta derīguma termiņš
Svarīgi! Drošās palaišanas sertifikātiem, ko izmanto lielākā daļa Windows ierīču, iestatītais derīgums beidzas, sākot ar 2026. gada jūniju. Tas var ietekmēt noteiktu personisko un darba ierīču drošas palaišanas spēju, ja sertifikāti netiek laikus atjaunināti. Lai izvairītos no traucējumiem, iesakām pārskatīt norādījumus un veikt darbības, lai jau iepriekš atjauninātu sertifikātus.
Detalizētu informāciju un sagatavošanās darbības Windows ierīcēm skatiet rakstā Windows drošās palaišanas sertifikāta derīguma termiņš un CA atjauninājumi.
Detalizētu informāciju un sagatavošanās darbības Windows serveriem skatiet tālāk norādītajos resursos.
|
Datuma maiņa |
Apraksta maiņa |
|
2026. gada 14. aprīlis |
Zināma problēma pievienota: "Iespējams, ka ir nepieciešamas ierīces ar nesaspiesto BitLocker grupas politika, lai ievadītu bitLocker atkopšanas atslēgu". |
Kopsavilkums
Šajā rakstā ir uzskaitītas drošības problēmas un kvalitātes uzlabojumi, kas iekļauti šajā drošības atjauninājumā.
Attiecas uz: Windows 10 ESU
Svarīgi!: Izmantojiet EKB KB5015684, lai atjauninātu uz Windows 10, versija 22H2.
Šajā drošības atjauninājumā iekļauti labojumi un kvalitātes uzlabojumi, kas ir daļa no šādiem atjauninājumiem:
Tālāk ir kopsavilkums par problēmām, kuras šis atjauninājums novērš, instalējot šo atjauninājumu. Ja ir pieejami jauni līdzekļi, norādīti arī tie. Treknraksta teksts iekavās norāda, ka vienums vai apgabals vai izmaiņas tiek dokumentētas.
-
[Pierakstīšanās] Novērsta: pēc 2026. gada 10. martā izlaistā Windows atjauninājuma instalēšanas dažiem lietotājiem var rasties problēma, pierakstoties programmās ar Microsoft kontu. Pat tad, ja ierīcei ir interneta savienojums, pierakstīšanās laikā tiek parādīta kļūda "nav interneta" un tiek liegta piekļuve Microsoft pakalpojumiem un programmām, piemēram, Microsoft Teams.
-
[Attālā darbvirsma] Šis atjauninājums uzlabo aizsardzību pret pikšķerēšanas uzbrukumiem, kas izmanto attālās darbvirsmas (.rdp) failus. Kad atverat .rdp failu, pirms savienojuma izveides attālajā darbvirsmā tiek rādīti visi pieprasītie savienojuma iestatījumi, kur katrs iestatījums pēc noklusējuma ir izslēgts. Vienreizējs drošības brīdinājums tiek parādīts arī pirmajā reizē, kad ierīcē atverat .rdp failu. Papildinformāciju skatiet rakstā Par drošības brīdinājumiem, atverot attālās darbvirsmas (Remote Desktop — RDP) failus.
-
[Droša sāknēšana]
-
Šis atjauninājums iespējo dinamisko statusa uzrādīšanu drošas sāknēšanas statusiem Windows drošība programmā (iestatījumi > atjaunināšanas & drošības > Windows drošība). Uzziniet vairāk par statusa brīdinājumiem, izmantojot žetonus un paziņojumus. Ņemiet vērā, ka šie uzlabojumi pēc noklusējuma ir atspējoti komerciālās ierīcēs un serveros.
-
Šis atjauninājums novērš problēmu, kas var izraisīt ierīces ievadi BitLocker atkopšanu pēc drošās sāknēšanas atjauninājumiem.
-
Ar šo atjauninājumu Windows kvalitātes atjauninājumi ietver papildu augstas ticamības ierīces, kas attiecas uz datiem, palielinot to ierīču pārklājumu, kuras ir piemērotas automātiski saņemt jaunos drošās sāknēšanas sertifikātus. Ierīces saņem jaunos sertifikātus tikai pēc pietiekama sekmīgu atjaunināšanas signālu nospiešanas, uzturot kontrolētu un pakāpeniski izvēršamu.
-
Ja instalējāt iepriekšējos atjauninājumus, ierīcē tiks lejupielādēti un instalēti tikai jaunie atjauninājumi, kas iekļauti šajā pakotnē.
Papildinformāciju par drošības ievainojamībām skatiet jaunajā drošības atjaunināšanas rokasgrāmatas tīmekļa vietnē un 2026. gada aprīļa drošības Atjauninājumi.
Informāciju par Windows atjauninājumu terminoloģiju skatiet rakstā par Windows atjauninājumu tipiem un ikmēneša kvalitātes atjauninājumu tipiem. Pārskatu par atjauninājumiem Windows 10 22H2, skatiet tās atjauninājumu vēstures lapā.
Piezīme Izpildiet @WindowsUpdate informāciju, kad Windows laidiena darbspējas informācijas panelī tiek publicēts jauns saturs.
Zināmās problēmas šajā atjauninājumā
Simptoms
Dažās ierīcēs ar nesasūtatu BitLocker grupas politika, iespējams, ir jāievada bitLocker atkopšanas atslēga pirmajā restartēšanas versijā pēc šī atjauninājuma instalēšanas.
Šī problēma ietekmē tikai ierobežotu sistēmu skaitu, kurās visi šie nosacījumi ir patiesi. Maz ticams, ka šos nosacījumus var atrast personiskajām ierīcēm, ko nevalda IT nodaļas.
-
BitLocker ir iespējots OS diskā.
-
Nosaukums grupas politika "Konfigurēt TPM platformas validācijas profilu vietējo UEFI aparātprogrammatūru konfigurācijām", un PCR7 ir iekļauts validācijas profilā (vai ekvivalentā reģistra atslēga ir iestatīta manuāli).
-
Sistēmas informācija (msinfo32.exe) ziņo par Secure Boot State PCR7 saistīšanu kā "Nav iespējams".
-
Windows UEFI CA 2023 sertifikāts ir ierīces drošā sāknēšanas paraksta datu bāzē (DB), padarot ierīci par noklusējuma failu, kam ir tiesības izmantot 2023. gada Windows Boot Manager.
-
Ierīcē vēl nedarbojas Windows 2023 sāknēšanas pārvaldnieks.
Šajā scenārijā BitLocker atkopšanas atslēga ir jāievada tikai vienreiz — turpmākā restartēšana neaktivizē BitLocker atkopšanas ekrānu, kamēr grupas politikas konfigurācija paliek nemainīga. Lai saņemtu palīdzību saistībā ar BitLocker atkopšanas atslēgas atrašanu, skatiet rakstu BitLocker atkopšanas atslēgas atrašana.
Uzņēmumiem ir ieteicams auditēt bitLocker grupas politikas, lai meklētu tiešu PCR7 iekļaušanu, un pirms šī atjauninājuma instalēšanas msinfo32.exe pārbaudiet, vai nav PCR7 saistīšanas statusa. (Skatiet tālāk 1. iespēju.)
Risinājums
1. iespēja. Grupas politika konfigurācijas noņemšana pirms atjauninājuma instalēšanas (ieteicams)
-
Atveriet grupas politika redaktoru (gpedit.msc) vai savu grupas politika Management Console.
-
Naviģējiet uz: Datora > administratīvās veidnes > izmantot Windows > un BitLocker diska šifrēšanas > operētājsistēmas diskos.
-
Iestatiet "Konfigurēt TPM platformas validācijas profilu vietējo UEFI aparātprogrammatūras konfigurācijām" uz "Nav konfigurēts".
-
Palaidiet šo komandu ietekmētajās ierīcēs, lai izplatītu politikas izmaiņas: gpupdate /force
-
Lai aizturētu Līdzekli BitLocker (kur BitLocker ir iespējots C: diskā), palaidiet šādu komandu: manage-bde -protectors -disable C:
-
Palaidiet šādu komandu, lai atsāktu BitLocker (kur BitLocker ir iespējots C: disks): manage-bde -protectors -enable C:
-
Tādējādi tiek atjaunināti BitLocker saistīumi, lai izmantotu Windows atlasīto noklusējuma PCR profilu.
2. iespēja. Pirms atjauninājuma instalēšanas lietojiet zināmo problēmu atriti (KIR)
Zināmo problēmu atrites (Known Issue Rollback – KIR) ir pieejama klientiem, kuri nevar noņemt PCR7 grupas politiku pirms šī atjauninājuma izvietošanas. KIR novērš automātisko pārslēgšanu uz 2023. gada sāknēšanas pārvaldnieku, novēršot BitLocker atkopšanas trigeri. KIR ir jāizvieto pirms atjauninājuma instalēšanas attiecīgajās ierīcēs. Lai iegūtu šo KIR, sazinieties ar Microsoft atbalsta dienestu darbam.
Nākamās darbības
Pastāvīga šīs problēmas risināšana ir plānota nākamajā Windows atjauninājumā. Kad tā būs pieejama, tiks sniegta papildinformācija.
Attiecas uz: Windows 10 Enterprise LTSC 2021 un Windows 10 IoT Enterprise LTSC 2021
Svarīgi!: Izmantojiet EKB KB5003791 atjaunināt uz Windows 10, 21H2 versija atbalstītos izdevumos.
Šajā drošības atjauninājumā iekļauti labojumi un kvalitātes uzlabojumi, kas ir daļa no šādiem atjauninājumiem:
Tālāk ir kopsavilkums par problēmām, kuras šis atjauninājums novērš, instalējot šo atjauninājumu. Ja ir pieejami jauni līdzekļi, norādīti arī tie. Treknraksta teksts iekavās norāda, ka vienums vai apgabals vai izmaiņas tiek dokumentētas.
-
[Pierakstīšanās] Novērsta: pēc 2026. gada 10. martā izlaistā Windows atjauninājuma instalēšanas dažiem lietotājiem var rasties problēma, pierakstoties programmās ar Microsoft kontu. Pat tad, ja ierīcei ir interneta savienojums, pierakstīšanās laikā tiek parādīta kļūda "nav interneta" un tiek liegta piekļuve Microsoft pakalpojumiem un programmām, piemēram, Microsoft Teams.
-
[Licencēšana] Uzlabots: šis atjauninājums novērš problēmu, Long-Term ietekmē apkalpošanas kanāla (LTSC) attēlu izveidi, izmantojot izvietojuma attēlu apkalpošanas un pārvaldības (Deployment Image Servicing and Management — DISM). DISM bezsaistes darbības tālāk redzamajā izdevumā nevarēja lietot drošības atjauninājumus licencēšanas ieviešanas ierobežojumu dēļ. Tagad varat izmantot DISM, lai pievienotu drošības pakotnes ltSC bezsaistes attēlu izveides laikā.
-
Windows 10 IoT Enterprise LTSC 2021
-
Windows 10 Enterprise G SKU
-
Windows 10 Enterprise N LTSC
-
-
[Attālā darbvirsma] Šis atjauninājums uzlabo aizsardzību pret pikšķerēšanas uzbrukumiem, kas izmanto attālās darbvirsmas (.rdp) failus. Kad atverat .rdp failu, pirms savienojuma izveides attālajā darbvirsmā tiek rādīti visi pieprasītie savienojuma iestatījumi, kur katrs iestatījums pēc noklusējuma ir izslēgts. Vienreizējs drošības brīdinājums tiek parādīts arī pirmajā reizē, kad ierīcē atverat .rdp failu. Papildinformāciju skatiet rakstā Par drošības brīdinājumiem, atverot attālās darbvirsmas (Remote Desktop — RDP) failus.
-
[Droša sāknēšana]
-
Šis atjauninājums iespējo dinamisko statusa uzrādīšanu drošas sāknēšanas statusiem Windows drošība programmā (iestatījumi > atjaunināšanas & drošības > Windows drošība). Uzziniet vairāk par statusa brīdinājumiem, izmantojot žetonus un paziņojumus. Ņemiet vērā, ka šie uzlabojumi pēc noklusējuma ir atspējoti komerciālās ierīcēs un serveros.
-
Šis atjauninājums novērš problēmu, kas var izraisīt ierīces ievadi BitLocker atkopšanu pēc drošās sāknēšanas atjauninājumiem.
-
Ar šo atjauninājumu Windows kvalitātes atjauninājumi ietver papildu augstas ticamības ierīces, kas attiecas uz datiem, palielinot to ierīču pārklājumu, kuras ir piemērotas automātiski saņemt jaunos drošās sāknēšanas sertifikātus. Ierīces saņem jaunos sertifikātus tikai pēc pietiekama sekmīgu atjaunināšanas signālu nospiešanas, uzturot kontrolētu un pakāpeniski izvēršamu.
-
Ja instalējāt iepriekšējos atjauninājumus, ierīcē tiks lejupielādēti un instalēti tikai jaunie atjauninājumi, kas iekļauti šajā pakotnē.
Papildinformāciju par drošības ievainojamībām skatiet jaunajā drošības atjaunināšanas rokasgrāmatas tīmekļa vietnē un 2026. gada aprīļa drošības Atjauninājumi.
Informāciju par Windows atjauninājumu terminoloģiju skatiet rakstā par Windows atjauninājumu tipiem un ikmēneša kvalitātes atjauninājumu tipiem. Pārskatu par atjauninājumiem Windows 10 22H2, skatiet tās atjauninājumu vēstures lapā.
Piezīme Izpildiet @WindowsUpdate informāciju, kad Windows laidiena darbspējas informācijas panelī tiek publicēts jauns saturs.
Zināmās problēmas šajā atjauninājumā
Simptoms
Dažās ierīcēs ar nesasūtatu BitLocker grupas politika, iespējams, ir jāievada bitLocker atkopšanas atslēga pirmajā restartēšanas versijā pēc šī atjauninājuma instalēšanas.
Šī problēma ietekmē tikai ierobežotu sistēmu skaitu, kurās visi šie nosacījumi ir patiesi. Maz ticams, ka šos nosacījumus var atrast personiskajām ierīcēm, ko nevalda IT nodaļas.
-
BitLocker ir iespējots OS diskā.
-
Nosaukums grupas politika "Konfigurēt TPM platformas validācijas profilu vietējo UEFI aparātprogrammatūru konfigurācijām", un PCR7 ir iekļauts validācijas profilā (vai ekvivalentā reģistra atslēga ir iestatīta manuāli).
-
Sistēmas informācija (msinfo32.exe) ziņo par Secure Boot State PCR7 saistīšanu kā "Nav iespējams".
-
Windows UEFI CA 2023 sertifikāts ir ierīces drošā sāknēšanas paraksta datu bāzē (DB), padarot ierīci par noklusējuma failu, kam ir tiesības izmantot 2023. gada Windows Boot Manager.
-
Ierīcē vēl nedarbojas Windows 2023 sāknēšanas pārvaldnieks.
Šajā scenārijā BitLocker atkopšanas atslēga ir jāievada tikai vienreiz — turpmākā restartēšana neaktivizē BitLocker atkopšanas ekrānu, kamēr grupas politikas konfigurācija paliek nemainīga. Lai saņemtu palīdzību saistībā ar BitLocker atkopšanas atslēgas atrašanu, skatiet rakstu BitLocker atkopšanas atslēgas atrašana.
Uzņēmumiem ir ieteicams auditēt bitLocker grupas politikas, lai meklētu tiešu PCR7 iekļaušanu, un pirms šī atjauninājuma instalēšanas msinfo32.exe pārbaudiet, vai nav PCR7 saistīšanas statusa. (Skatiet tālāk 1. iespēju.)
Risinājums
1. iespēja. Grupas politika konfigurācijas noņemšana pirms atjauninājuma instalēšanas (ieteicams)
-
Atveriet grupas politika redaktoru (gpedit.msc) vai savu grupas politika Management Console.
-
Naviģējiet uz: Datora > administratīvās veidnes > izmantot Windows > un BitLocker diska šifrēšanas > operētājsistēmas diskos.
-
Iestatiet "Konfigurēt TPM platformas validācijas profilu vietējo UEFI aparātprogrammatūras konfigurācijām" uz "Nav konfigurēts".
-
Palaidiet šo komandu ietekmētajās ierīcēs, lai izplatītu politikas izmaiņas: gpupdate /force
-
Lai aizturētu Līdzekli BitLocker (kur BitLocker ir iespējots C: diskā), palaidiet šādu komandu: manage-bde -protectors -disable C:
-
Palaidiet šādu komandu, lai atsāktu BitLocker (kur BitLocker ir iespējots C: disks): manage-bde -protectors -enable C:
-
Tādējādi tiek atjaunināti BitLocker saistīumi, lai izmantotu Windows atlasīto noklusējuma PCR profilu.
2. iespēja. Pirms atjauninājuma instalēšanas lietojiet zināmo problēmu atriti (KIR)
Zināmo problēmu atrites (Known Issue Rollback – KIR) ir pieejama klientiem, kuri nevar noņemt PCR7 grupas politiku pirms šī atjauninājuma izvietošanas. KIR novērš automātisko pārslēgšanu uz 2023. gada sāknēšanas pārvaldnieku, novēršot BitLocker atkopšanas trigeri. KIR ir jāizvieto pirms atjauninājuma instalēšanas attiecīgajās ierīcēs. Lai iegūtu šo KIR, sazinieties ar Microsoft atbalsta dienestu darbam.
Nākamās darbības
Pastāvīga šīs problēmas risināšana ir plānota nākamajā Windows atjauninājumā. Kad tā būs pieejama, tiks sniegta papildinformācija.
Windows 10 apkalpošanas steka atjauninājums (KB5084130) — versija 19041.7183
Microsoft tagad apvieno jaunāko apkalpošanas steka atjauninājumu (SSU) jūsu operētājsistēmai ar jaunāko kumulatīvo atjauninājumu (LCU). SSU uzlabo atjaunināšanas procesa uzticamību un ietver labojumus apkalpošanas grupā, komponentā, kas instalē Windows atjauninājumus.
Piezīme. Šajā apkalpošanas grēdas atjauninājumā (SSU) ir iekļauta uzlabota loģika, lai pārbaudītu, vai ierīce tiek viesota Azure, izmantojot atjauninātu sertifikātu ķēdi validācijai. Lai nodrošinātu, ka ierīce var piekļūt nepieciešamajiem sertifikātu atjaunināšanas domēniem, lai sekmīgi lejupielādētu un instalētu sertifikātu atjauninājumus, skatiet rakstu Sertifikātu lejupielādes un atsaukšanas saraksti un Azure sertificēšanas iestādes informāciju. Papildinformāciju par SSU skatiet rakstā Apkalpošanas steka atjauninājumi.
Atjauninājuma iegūšana
Pirms šī atjauninājuma instalēšanas
Svarīgi! Jums jābūt instalētam jaunākam Windows 10 apkalpošanas steka atjauninājumam (SSU). Ja neinstalēsiet jaunāko SSU pirms Windows atjauninājumu lietošanas, iespējams, windows atjauninājums netiks piedāvāts līdz brīdim, kad būs instalēta jaunākā SSU.
Atkarībā no instalācijas scenārija izvēlieties kādu no šīm opcijām:
-
Bezsaistes sistēmas OS attēlu apkalpošanai:
Ja jūsu attēlam nav 2023. gada 25. jūlija (KB5028244) vai jaunākas versijas LCU, jums ir jāinstalē īpašs savrupais 2023. gada 13. oktobra SSU (KB5031539) pirms šī atjauninājuma instalēšanas.
-
Atjaunināšanas Windows Server (WSUS) izvietošanai vai savrupās pakotnes instalēšanai no Microsoft atjauninājumu kataloga:
Ja jūsu ierīcēs nav 2021. gada 11. maija (KB5003173) vai jaunākas versijas LCU, jums ir jāinstalē īpašs savrupais 2021. gada 10. augusta SSU (KB5005260) pirms šī atjauninājuma instalēšanas.
Instalēt šo atjauninājumu
Lai instalētu šo atjauninājumu, izmantojiet kādu no tālāk minētajiem Windows un Microsoft laidiena kanāliem.
|
Pieejams |
Nākamā darbība |
|
|
Šis atjauninājums tiks automātiski lejupielādēts un instalēts no pakalpojuma Windows Update. |
|
Pieejams |
Nākamā darbība |
|
|
Šis atjauninājums tiks automātiski lejupielādēts un instalēts no Windows Update darbam saskaņā ar konfigurētajām politikām. |
|
Pieejams |
Nākamā darbība |
|
|
Lai iegūtu savrupu pakotni šim atjauninājumam, dodieties uz Microsoft atjaunināšanas kataloga tīmekļa vietni. Informāciju par to, kā lejupielādēt un instalēt atjauninājumus no atjauninājumu kataloga, skatiet rakstā Kā lejupielādēt atjauninājumus, kas ietver draiverus un labojumfailus no Windows Update kataloga. |
|
Pieejams |
Nākamā darbība |
|
|
Šis atjauninājums tiks automātiski sinhronizēts Windows Server atjaunināšanas pakalpojumiem (WSUS), ja konfigurējat produktus un klasifikācijas šādi:
Lai iestatītu savu WSUS serveri sinhronizēšanai atbilstoši produktiem un klasifikācijām, skatiet rakstu Atjauninājuma sinhronizēšana pēc produkta un klasifikācijas. Lai manuāli importētu atjauninājumus WSUS, skatiet rakstu Atjauninājumu importēšana WSUS, izmantojot PowerShell. |
Informācija par failiem
Šajā atjauninājumā iekļauto failu saraksts ir pieejams CSV (komatatdalīto vērtību) (*.csv) failā. Failu var atvērt teksta redaktorā, piemēram, Piezīmjblokā vai programmā Microsoft Excel.
Piezīme. Šī programmatūras atjauninājuma angļu valodas (AMERIKAS Savienotās Valstis) versijā var būt faili papildu valodām.
Saistītā informācija
Ja vēlaties noņemt šo atjauninājumu
CAUTION Pirms šī atjauninājuma noņemšanas, lūdzu, skatiet rakstu Izpratne par riskiem. Kāpēc nav jāatinstalē drošības atjauninājumi.
Lai noņemtu LCU pēc apvienotas SSU un LCU pakotnes instalēšanas, izmantojiet dism/Remove-Package komandrindas opciju ar LCU pakotnes nosaukumu kā argumentu. Pakotnes nosaukumu varat atrast, izmantojot šādu komandu: DISM /online /get-packages.
Savrupās Windows Update (wusa.exe) ar slēdzi /uninstall kombinētajā pakotnē nedarbojas, jo apvienotajā pakotnē ir iekļauta SSU. Pēc instalēšanas nevarat noņemt SSU no sistēmas.
Paziņojums par Microsoft Store lietojumprogrammu atjauninājumiem
Windows atjauninājumi neinstalē Microsoft Store lietojumprogrammu atjauninājumus. Ja esat uzņēmuma lietotājs, skatiet rakstu Microsoft Store programmas — Configuration Manager. Ja esat patērētāju lietotājs, skatiet rakstu Programmu un spēļu atjauninājumu iegūšana veikalā Microsoft Store.
Atbalsta perioda beigu informācija
Windows 10 versijas 21H2/22H2 un Windows 10 Enterprise LTSC 2021 atbalsta beigas
Microsoft vairs nenodrošinās bezmaksas programmatūras atjauninājumus no Windows Update, tehnisko palīdzību vai drošības labojumus no šādiem beigu datumiem:
♦ Windows 10, versija 21H2: Atbalsts beidzās 2023. gada 13. jūnijā
♦ Windows 10, versija 22H2: Atbalsts beidzās 2025. gada 14. oktobrī
♦ Windows 10 Enterprise LTSC 2021: 2027. gada 12. janvāris
♦ Windows 10 IoT Enterprise LTSC 2021: 2032. gada 13. janvāris
Piezīme. Lai turpinātu saņemt kritiskos un svarīgos drošības atjauninājumus operētājsistēmai Windows 10, skatiet Windows 10 paplašinātos drošības atjauninājumus (ESU). Pretējā gadījumā iesakām jaunināt uz jaunāku Windows versiju.
