Windows drošās palaišanas sertifikāta derīguma termiņš
Svarīgi! Drošās palaišanas sertifikātiem, ko izmanto lielākā daļa Windows ierīču, iestatītais derīgums beidzas, sākot ar 2026. gada jūniju. Tas var ietekmēt noteiktu personisko un darba ierīču drošas palaišanas spēju, ja sertifikāti netiek laikus atjaunināti. Lai izvairītos no traucējumiem, iesakām pārskatīt norādījumus un veikt darbības, lai jau iepriekš atjauninātu sertifikātus.
Detalizētu informāciju un sagatavošanās darbības Windows ierīcēm skatiet rakstā Windows drošās palaišanas sertifikāta derīguma termiņš un CA atjauninājumi.
Detalizētu informāciju un sagatavošanās darbības Windows serveriem skatiet tālāk norādītajos resursos.
Kopsavilkums
Šajā rakstā ir uzskaitītas šajā kumulatīvajā drošības atjauninājumā iekļautās drošības problēmas un kvalitātes uzlabojumi.
Attiecas uz: Windows 10 ESU
Svarīgi!: Izmantojiet EKB KB5015684, lai atjauninātu uz Windows 10 versiju 22H2.
Šajā drošības atjauninājumā ir iekļauti labojumi un kvalitātes uzlabojumi, kas ir daļa no šādiem atjauninājumiem:
Tālāk ir sniegts kopsavilkums par problēmām, kuras šajā atjauninājumā tiek novērstas, kad instalējat šo atjauninājumu. Ja ir jauni līdzekļi, tiek norādīti arī tie. Treknraksta teksts iekavās norāda dokumentējamo izmaiņu vienumu vai apgabalu.
-
[Attālās darbvirsmas drošības brīdinājumi (zināma problēma)] Izlabots: attālās darbvirsmas savienojuma drošības brīdinājuma dialoglodziņš var tikt atveidots nepareizi vairāku monitoru konfigurācijās ar atšķirīgiem displeja mērogošanas iestatījumiem. Šī problēma, iespējams, rodas pēc Windows drošības atjauninājuma, kas izlaists 2026. gada 14. aprīlī (KB5082200), instalēšanas.
-
[Drošā sāknēšana]
-
Šis atjauninājums iespējo dinamisko statusa pārskatu veidošanu par drošās palaišanas stāvokļiem programmā Windows drošība.
-
Ar šo atjauninājumu Windows kvalitātes atjauninājumi ietver papildu augstas ticamības ierīces adresēšanas datus, palielinot to ierīču pārklājumu, kuras ir piemērotas automātiskai jaunu drošās palaišanas sertifikātu saņemšanai. Ierīces saņem jaunos sertifikātus tikai pēc tam, kad ir demonstrēti pietiekami sekmīgi atjaunināšanas signāli un tiek uzturēta kontrolēta un pakāpeniska ieviešana.
-
-
[Vasaras laiks] Atjauninājums Ēģiptes Arābu Republikai, lai atbalstītu valdības vasaras laika maiņas rīkojumu 2023. gadā.
Ja esat instalējis iepriekšējos atjauninājumus, jūsu ierīcē tiks lejupielādēti un instalēti tikai jaunie šajā pakotnē ietvertie atjauninājumi.
Papildinformāciju par drošības ievainojamību skatiet jaunajā drošības atjauninājumu ceļveža tīmekļa vietnē un 2026. gada maija drošības Atjauninājumi.
Informāciju par Windows atjauninājumu terminoloģiju skatiet rakstā par Windows atjauninājumu veidiem un ikmēneša kvalitātes atjauninājumu tipiem. Pārskatu par Windows 10 versiju 22H2 skatiet tās atjauninājumu vēstures lapā.
Zināmās problēmas šajā atjauninājumā
-
Ierīcēs ar neieteicamu BitLocker grupas politikas konfigurāciju, iespējams, būs jāievada BitLocker atkopšanas atslēga Simptomi
Dažām ierīcēm ar neieteicamu BitLocker grupas politikas konfigurāciju, iespējams, būs jāievada BitLocker atkopšanas atslēga, pirmo reizi restartējot pēc šī atjauninājuma instalēšanas.
Šī problēma ietekmē tikai ierobežotu sistēmu skaitu, kurās ir izpildīti VISI tālāk minētie nosacījumi. Maz ticams, ka šie nosacījumi tiks atrasti personiskajās ierīcēs, ko nepārvalda IT nodaļas.
-
BitLocker ir iespējots operētājsistēmas diskā.
-
Grupas politika "Konfigurēt TPM platformas validācijas profilu vietējām UEFI aparātprogrammatūras konfigurācijām" ir konfigurēta, un PCR7 ir iekļauts validācijas profilā (vai ekvivalenta reģistra atslēga tiek iestatīta manuāli).
-
Sistēmas informācijas (msinfo32.exe) ziņo par drošās palaišanas stāvokli PCR7 saistījumu kā "Nav iespējams".
-
Windows UEFI CA 2023 sertifikāts ir ierīces drošās palaišanas parakstu datu bāzē (DB), tāpēc ierīce ir piemērota 2023. gadā parakstītajam Windows palaišanas pārvaldniekam kā noklusējuma programmai.
-
Ierīcē vēl nedarbojas 2023. gadā parakstītais Windows palaišanas pārvaldnieks.
Šādā gadījumā BitLocker atkopšanas atslēga ir jāievada tikai vienreiz — turpmāka restartēšana neaktivizē BitLocker atkopšanas ekrānu, kamēr grupas politikas konfigurācija netiek mainīta. Lai saņemtu palīdzību par BitLocker atkopšanas atslēgas atrašanu, skatiet rakstu BitLocker atkopšanas atslēgas atrašana.
Uzņēmumiem ieteicams auditēt to BitLocker grupu politikas, lai noteiktu tiešu PCR7 iekļaušanu, un pirms šā atjauninājuma instalēšanas pārbaudīt msinfo32.exe PCR7 saistīšanas statusu.
Risinājums
Mēs strādājam pie risinājuma un nodrošināsim papildinformāciju, kad tā būs pieejama.
Lai īslaicīgi novērstu šo problēmu, pirms atjauninājuma instalēšanas noņemiet grupas politikas konfigurāciju (ieteicams)
-
Atveriet grupas politikas redaktoru (gpedit.msc) vai grupas politikas pārvaldības konsoli.
-
Pārejiet uz: Datora konfigurācija > Administrēšanas veidnes > Windows komponenti > BitLocker diska šifrēšana > operētājsistēmas diski.
-
Iestatiet "Konfigurēt TPM platformas validācijas profilu vietējā UEFI aparātprogrammatūras konfigurācijām" uz "Nav konfigurēts".
-
Izpildiet tālāk norādīto komandu ietekmētajās ierīcēs, lai izplatītu politikas izmaiņas: gpupdate /force
-
Palaidiet tālāk norādīto komandu, lai aizturētu BitLocker (kur BitLocker ir iespējots C: diskā): manage-bde -protectors -disable C:
-
Palaidiet tālāk norādīto komandu, lai atsāktu BitLocker darbību (kur C: diskā ir iespējots BitLocker): manage-bde -protectors -enable C:
-
Ar šo tiek atjaunināti BitLocker saistījumi, lai izmantotu Windows atlasīto noklusējuma PCR profilu.
-
Attiecas uz: Windows 10 Enterprise LTSC 2021 un Windows 10 IoT Enterprise LTSC 2021
Svarīgi!: Izmantojiet EKB KB5003791, lai atbalstītajos izdevumos atjauninātu uz Windows 10 versiju 21H2.
Šajā drošības atjauninājumā ir iekļauti labojumi un kvalitātes uzlabojumi, kas ir daļa no šādiem atjauninājumiem:
Tālāk ir sniegts kopsavilkums par problēmām, kuras šajā atjauninājumā tiek novērstas, kad instalējat šo atjauninājumu. Ja ir jauni līdzekļi, tiek norādīti arī tie. Treknraksta teksts iekavās norāda dokumentējamo izmaiņu vienumu vai apgabalu.
-
[Attālās darbvirsmas drošības brīdinājumi (zināma problēma)] Izlabots: attālās darbvirsmas savienojuma drošības brīdinājuma dialoglodziņš var tikt atveidots nepareizi vairāku monitoru konfigurācijās ar atšķirīgiem displeja mērogošanas iestatījumiem. Šī problēma, iespējams, rodas pēc Windows drošības atjauninājuma, kas izlaists 2026. gada 14. aprīlī (KB5082200), instalēšanas.
-
[Drošā sāknēšana]
-
Šis atjauninājums iespējo dinamisko statusa pārskatu veidošanu par drošās palaišanas stāvokļiem programmā Windows drošība.
-
Ar šo atjauninājumu Windows kvalitātes atjauninājumi ietver papildu augstas ticamības ierīces adresēšanas datus, palielinot to ierīču pārklājumu, kuras ir piemērotas automātiskai jaunu drošās palaišanas sertifikātu saņemšanai. Ierīces saņem jaunos sertifikātus tikai pēc tam, kad ir demonstrēti pietiekami sekmīgi atjaunināšanas signāli un tiek uzturēta kontrolēta un pakāpeniska ieviešana.
-
-
[Vasaras laiks] Atjauninājums Ēģiptes Arābu Republikai, lai atbalstītu valdības vasaras laika maiņas rīkojumu 2023. gadā.
Ja esat instalējis iepriekšējos atjauninājumus, jūsu ierīcē tiks lejupielādēti un instalēti tikai jaunie šajā pakotnē ietvertie atjauninājumi.
Papildinformāciju par drošības ievainojamību skatiet jaunajā drošības atjauninājumu ceļveža tīmekļa vietnē un 2026. gada maija drošības Atjauninājumi.
Informāciju par Windows atjauninājumu terminoloģiju skatiet rakstā par Windows atjauninājumu veidiem un ikmēneša kvalitātes atjauninājumu tipiem. Pārskatu par Windows 10 versiju 22H2 skatiet tās atjauninājumu vēstures lapā.
Zināmās problēmas šajā atjauninājumā
-
Ierīcēs ar neieteicamu BitLocker grupas politikas konfigurāciju, iespējams, būs jāievada BitLocker atkopšanas atslēga Simptomi
Dažām ierīcēm ar neieteicamu BitLocker grupas politikas konfigurāciju, iespējams, būs jāievada BitLocker atkopšanas atslēga, pirmo reizi restartējot pēc šī atjauninājuma instalēšanas.
Šī problēma ietekmē tikai ierobežotu sistēmu skaitu, kurās ir izpildīti VISI tālāk minētie nosacījumi. Maz ticams, ka šie nosacījumi tiks atrasti personiskajās ierīcēs, ko nepārvalda IT nodaļas.
-
BitLocker ir iespējots operētājsistēmas diskā.
-
Grupas politika "Konfigurēt TPM platformas validācijas profilu vietējām UEFI aparātprogrammatūras konfigurācijām" ir konfigurēta, un PCR7 ir iekļauts validācijas profilā (vai ekvivalenta reģistra atslēga tiek iestatīta manuāli).
-
Sistēmas informācijas (msinfo32.exe) ziņo par drošās palaišanas stāvokli PCR7 saistījumu kā "Nav iespējams".
-
Windows UEFI CA 2023 sertifikāts ir ierīces drošās palaišanas parakstu datu bāzē (DB), tāpēc ierīce ir piemērota 2023. gadā parakstītajam Windows palaišanas pārvaldniekam kā noklusējuma programmai.
-
Ierīcē vēl nedarbojas 2023. gadā parakstītais Windows palaišanas pārvaldnieks.
Šādā gadījumā BitLocker atkopšanas atslēga ir jāievada tikai vienreiz — turpmāka restartēšana neaktivizē BitLocker atkopšanas ekrānu, kamēr grupas politikas konfigurācija netiek mainīta. Lai saņemtu palīdzību par BitLocker atkopšanas atslēgas atrašanu, skatiet rakstu BitLocker atkopšanas atslēgas atrašana.
Uzņēmumiem ieteicams auditēt to BitLocker grupu politikas, lai noteiktu tiešu PCR7 iekļaušanu, un pirms šā atjauninājuma instalēšanas pārbaudīt msinfo32.exe PCR7 saistīšanas statusu.
Risinājums
Mēs strādājam pie risinājuma un nodrošināsim papildinformāciju, kad tā būs pieejama.
Lai īslaicīgi novērstu šo problēmu, pirms atjauninājuma instalēšanas noņemiet grupas politikas konfigurāciju (ieteicams)
-
Atveriet grupas politikas redaktoru (gpedit.msc) vai grupas politikas pārvaldības konsoli.
-
Pārejiet uz: Datora konfigurācija > Administrēšanas veidnes > Windows komponenti > BitLocker diska šifrēšana > operētājsistēmas diski.
-
Iestatiet "Konfigurēt TPM platformas validācijas profilu vietējā UEFI aparātprogrammatūras konfigurācijām" uz "Nav konfigurēts".
-
Izpildiet tālāk norādīto komandu ietekmētajās ierīcēs, lai izplatītu politikas izmaiņas: gpupdate /force
-
Palaidiet tālāk norādīto komandu, lai aizturētu BitLocker (kur BitLocker ir iespējots C: diskā): manage-bde -protectors -disable C:
-
Palaidiet tālāk norādīto komandu, lai atsāktu BitLocker darbību (kur C: diskā ir iespējots BitLocker): manage-bde -protectors -enable C:
-
Ar šo tiek atjaunināti BitLocker saistījumi, lai izmantotu Windows atlasīto noklusējuma PCR profilu.
-
Windows 10 apkalpošanas grēdas atjauninājums (KB5084130) — versija 19041.7183
Microsoft tagad apvieno jaunāko apkalpošanas grupas atjauninājumu (SSU) jūsu operētājsistēmai ar jaunāko kumulatīvo atjauninājumu (LCU). SSU uzlabo atjaunināšanas procesa uzticamību un ietver apkalpošanas grupas — komponenta, kas instalē Windows atjauninājumus — labojumus.
Piezīme. Šajā apkalpošanas grēdas atjauninājumā (SSU) ir iekļauta uzlabota loģika, lai pārbaudītu, vai ierīce tiek viesota pakalpojumā Azure, validācijai izmantojot atjauninātu sertifikātu ķēdi. Lai pārliecinātos, ka ierīce var piekļūt nepieciešamajiem sertifikātu atjaunināšanas domēniem, lai sekmīgi lejupielādētu un instalētu sertifikātu atjauninājumus, skatiet rakstu Sertifikātu lejupielādes un atsaukšanas saraksti un Azure sertificēšanas iestādes detalizētā informācija. Lai uzzinātu vairāk par SSU, skatiet sadaļu Apkalpošanas grupas atjauninājumi.
Atjauninājuma iegūšana
Pirms šī atjauninājuma instalēšanas
Svarīgi! Ir jābūt instalētam jaunākajam apkalpošanas grupas atjauninājumam (SSU). Ja pirms Windows atjauninājumu lietošanas netiek instalēts jaunākais SSU, Windows atjauninājums var netikt piedāvāts līdz jaunākā SSU instalēšanai.
Izvietošana
Ja izvietojat šo atjauninājumu, izvēlieties kādu no tālāk norādītajām darbībām atkarībā no instalēšanas scenārija:
Bezsaistes operētājsistēmas attēlu apkalpošanai
-
Ja jūsu attēlam nav 2023. gada 25. jūlija (KB5028244) vai jaunāka LCU, pirms šā atjauninājuma instalēšanas jums ir jāinstalē īpašs savrupais 2023. gada 13. oktobra SSU (KB5031539).
Windows Server Update Services (WSUS) izvietošanai vai instalējot savrupo pakotni no Microsoft Update kataloga
Šī atjauninājuma iegūšana un instalēšana
Lai iegūtu un instalētu šo atjauninājumu, izmantojiet kādu no tālāk norādītajiem Windows un Microsoft laidiena kanāliem.
|
Pieejams |
Nākamā darbība |
|
|
Šis atjauninājums tiks automātiski lejupielādēts un instalēts no pakalpojuma Windows Update. |
|
Pieejams |
Nākamā darbība |
|
|
Šis atjauninājums tiks automātiski lejupielādēts un instalēts no Windows Update darbam saskaņā ar konfigurētajām politikām. |
|
Pieejams |
Nākamā darbība |
|
|
Lai iegūtu atsevišķo šī atjauninājuma pakotni, apmeklējiet Microsoft Update kataloga tīmekļa vietni. Informāciju par atjauninājumu kataloga lejupielādi un instalēšanu skatiet sadaļā Kā lejupielādēt atjauninājumus, kas ietver draiverus un labojumfailus no Windows Update kataloga. |
|
Pieejams |
Nākamā darbība |
|
|
Šis atjauninājums tiks automātiski sinhronizēts ar Windows Server atjaunināšanas pakalpojumiem (WSUS), ja konfigurēsit produktus un klasifikācijas tā, kā norādīts tālāk.
Lai iestatītu WSUS serveri sinhronizēšanai, pamatojoties uz produktiem un klasifikācijām, skatiet rakstu Atjaunināšanas sinhronizēšana pēc produkta un klasifikācijas. Lai manuāli importētu atjauninājumus uz WSUS, skatiet sadaļu Atjauninājumu importēšana uz WSUS, izmantojot PowerShell. |
Informācija par failiem
Šajā atjauninājumā iekļauto failu saraksts tiek nodrošināts CSV (komatatdalītā) (*.csv) failā. Failu var atvērt teksta redaktorā, piemēram, Notepad vai programmā Microsoft Excel.
Piezīme. Šī programmatūras atjauninājuma angļu (ASV) versijā var būt faili papildu valodām.
Saistītā informācija
Ja vēlaties noņemt šo atjauninājumu
UZMANĪBU Pirms izlemjat noņemt šo atjauninājumu, lūdzu, skatiet rakstu Risku izpratne Kāpēc nevajadzētu atinstalēt drošības atjauninājumus.
Lai noņemtu LCU pēc kombinētās SSU un LCU pakotnes instalēšanas, izmantojiet komandrindas opciju DISM/Remove-Package ar LCU pakotnes nosaukumu kā argumentu. Pakotnes nosaukumu varat atrast, izmantojot šo komandu: DISM /online /get-packages.
Savrupā instalētāja (Windows Updatewusa.exe) palaišana ar slēdzi/uninstall kombinētajā pakotnē nedarbosies, jo kombinētajā pakotnē ir SSU. Pēc instalēšanas SSU nevar noņemt no sistēmas.
Paziņojums par Microsoft Store lietojumprogrammu atjauninājumiem
Windows atjauninājumi neinstalē Microsoft Store lietojumprogrammu atjauninājumus. Ja esat uzņēmuma lietotājs, skatiet rakstu Microsoft Store programmas — Configuration Manager. Ja esat lietotājs, kas ir patērētājs, skatiet rakstu Programmu un spēļu atjauninājumu iegūšana veikalā Microsoft Store.
Informācija par atbalsta beigām
Windows 10 versijas 21H2/22H2 un Windows 10 Enterprise LTSC 2021 atbalsta beigas
Microsoft vairs nenodrošinās bezmaksas programmatūras atjauninājumus no Windows Update, tehnisko palīdzību vai drošības labojumus no šādiem beigu datumiem:
♦ Windows 10, versija 21H2: Atbalsts beidzās 2023. gada 13. jūnijā
♦ Windows 10, versija 22H2: Atbalsts beidzās 2025. gada 14. oktobrī
♦ Windows 10 Enterprise LTSC 2021: 2027. gada 12. janvāris
♦ Windows 10 IoT Enterprise LTSC 2021: 2032. gada 13. janvāris
Piezīme. Lai turpinātu saņemt kritiskos un svarīgos drošības atjauninājumus operētājsistēmai Windows 10, skatiet Windows 10 paplašinātos drošības atjauninājumus (ESU). Pretējā gadījumā iesakām jaunināt uz jaunāku Windows versiju.
