12. mai 2026 – KB5087420 (OS-build 22631.7079)

Gjelder for
Windows 11 version 23H2, all editions

Denne kumulative oppdateringen for Windows 11, versjon 23H2 (KB5087420), inneholder de nyeste sikkerhetsoppdateringene og forbedringene, sammen med ikke-sikkerhetsrelaterte oppdateringer fra forrige måneds valgfrie forhåndsversjon. Hvis du vil finne ut mer om forskjellene mellom sikkerhetsoppdateringer, valgfrie ikke-sikkerhetsrelaterte forhåndsversjonsoppdateringer, utenforliggende oppdateringer (OOB) og kontinuerlig innovasjon, kan du se Forklaring av månedlige oppdateringer for Windows. Hvis du vil ha informasjon om terminologien for Windows-oppdateringer, kan du se de ulike typene Windows-programvareoppdateringer.

Hvis du vil se de nyeste oppdateringene om denne utgivelsen, kan du gå til Windows-tilstandsinstrumentbordet eller oppdateringsloggsiden for Windows 11, versjon 23H2.

Lyspæretips : Denne månedens video er tilgjengelig i artikkelen Windows 11, versjon 25H2 og 24H2.

Kunngjøringer og meldinger

Denne delen inneholder viktige varsler relatert til denne utgivelsen, inkludert kunngjøringer, endringslogger og meldinger om avvikling av kundestøtte.

Utløp av sertifikatet for sikker oppstart av Windows

Obs!

  • Utløp av sertifikatet for sikker oppstart av Windows
  • Viktig: Sertifikater for sikker oppstart som brukes av de fleste Windows-enheter, er satt til å utløpe fra og med juni 2026. Microsoft har oppdatert disse sertifikatene på forbrukerenheter og ikke-administrerte bedriftsenheter de siste månedene. Enheter som ikke har mottatt de nyere sertifikatene, fortsetter å starte og fungere som normalt, og standard Windows-oppdateringer vil fortsette å installeres. Vi vil fortsette å installere de nyere sertifikatene via Windows-oppdateringer i månedene som kommer.
  • Du kan kontrollere PC-statusen i Windows Sikkerhet-appen. Hvis du er IT-administrator, følger du veiledningen i strategiplanen Secure Boot for Windows-klienter og Windows Server.
Endringslogg
Endre dato Endre beskrivelse
09. juni 2026 kl. Revisjon av kjente problemer: Oppdatert løsning for Enheter med en ikke-anbefalt BitLocker-gruppepolicy-konfigurasjon kan være pålagt å angi BitLocker-gjenopprettingsnøkkelen
20. mai 2026 kl. Rettet koblingen til Microsoft Update-katalogen til å peke til oppdateringen fra 12. mai 2026 i stedet for oppdateringen fra 14. april 2026.
13. mai 2026 kl. La til utgivelsesmerknad for sikker oppstart: Denne oppdateringen legger til en ny SecureBootmappe under C:\Windows på kvalifiserte enheter.

Forbedringer

Denne oppdateringen løser sikkerhetsproblemer for Windows-operativsystemet.

Viktig

Bruk EKB KB5027397 for å oppdatere til Windows 11, versjon 23H2.

Denne sikkerhetsoppdateringen inneholder løsninger og kvalitetsforbedringer fra KB5082052 (utgitt 14. april 2026). Følgende sammendrag beskriver de viktigste problemene som er løst i denne oppdateringen. Inkludert er også tilgjengelige nye funksjoner. Fet tekst i hakeparentesene angir elementet eller området for endringen.

  • [Sikker oppstart]

    • Med denne oppdateringen inkluderer Windows-kvalitetsoppdateringer flere enhetsmålrettingsdata med høy konfidens, noe som øker dekningen av enheter som er kvalifisert til å motta nye Secure Boot-sertifikater automatisk. Enheter mottar de nye sertifikatene bare etter at de har vist tilstrekkelige oppdateringssignaler, og opprettholder en kontrollert og faset utrulling.
    • Denne oppdateringen legger til en ny SecureBoot mappe på C:\Windows kvalifiserte enheter. Mappen inneholder eksempelskript beregnet på organisasjoner med IT-teknikere som aktivt administrerer oppdateringer på tvers av enhetsflåten. Disse skriptene kan brukes til å oppdage oppdateringsstatus for Secure Boot-sertifikat og automatisere distribusjon via en sikker utrullingsmekanisme i et Active Directory-miljø. Hvis du vil ha mer informasjon, kan du se et eksempel på E2E Automation-veiledning for sikker oppstart.
  • [Ressurs for land- og operatørinnstillinger (COSA)] Denne oppdateringen oppdaterer profiler for enkelte mobiloperatører.

  • [Sommertid (DST)] Denne oppdateringen støtter DST-endringen for 2023 for Den arabiske republikken Egypt.

  • [Enterprise State Roaming (ESR)] ESR kan nå administreres gjennom policyer for Windows Sikkerhetskopiering for organisasjoner. Dette gjør konfigurasjonen enklere for IT-administratorer. Hvis du vil ha mer informasjon, kan du se Enterprise State Roaming.

  • [Microsoft Defender SmartScreen] Denne oppdateringen gjør det mulig for Microsoft Defender SmartScreen i Windows-skallet å sende hash-koder for filer for usignerte filer. Denne støtten gjør at SmartScreen kan bruke nyere omdømmemodeller og forbedrer kvaliteten på applikasjonens omdømmekontroller.

  • Eksternt skrivebord (kjent problem)] Løst: Denne oppdateringen løser et problem som påvirker dialogboksen Sikkerhetsadvarsel for tilkobling til eksternt skrivebord. Dialogboksen kunne gjengis feil i scenarioer med flere skjermer når skjermene hadde en annen skalering angitt. Dette kan skje etter at du har installert sikkerhetsoppdateringen for april 2026 (KB5082052). Hvis du vil ha mer informasjon, kan du se Forstå sikkerhetsadvarsler når du åpner filer for eksternt skrivebord (RDP).

Hvis du allerede har installert tidligere oppdateringer, laster enheten ned og installerer bare de nye oppdateringene som er inkludert i denne pakken.

Hvis du vil ha mer informasjon om sikkerhetsproblemer, kan du se veiledningen for sikkerhetsoppdateringer og sikkerhetsoppdateringen for mai 2026.

Windows 11 servicestakkoppdatering (KB5086307) – 22621.6937

Denne oppdateringen gjør kvalitetsforbedringer i servicestakken, som er komponenten som installerer Windows-oppdateringer. Servicestakkoppdateringer (SSU) sikrer at du har en robust og pålitelig servicestakk, slik at enhetene kan motta og installere Microsoft-oppdateringer. Hvis du vil lære mer om SSU-er, kan du se Forenkle lokal distribusjon av servicestakkoppdateringer.

Kjente problemer med denne oppdateringen

Enheter med en ikke-anbefalt konfigurasjon av BitLocker-gruppepolicy kan måtte angi BitLocker-gjenopprettingsnøkkelen

Symptom

Noen enheter med en ikke-anbefalt BitLocker-gruppepolicy kan bli bedt om å oppgi BitLocker-gjenopprettingsnøkkelen ved første omstart etter installasjon av denne oppdateringen.

Dette problemet påvirker bare et begrenset antall systemer der alle følgende betingelser er oppfylt. Disse betingelsene finnes sannsynligvis ikke på personlige enheter som ikke administreres av IT-avdelinger.

  1. BitLocker er aktivert på operativsystemstasjonen.
  2. Gruppepolicyen «Konfigurer TPM-plattformvalideringsprofil for opprinnelige UEFI-fastvarekonfigurasjoner» er satt, og PCR7 er inkludert i valideringsprofilen (eller tilsvarende registernøkkel er manuelt konfigurert).
  3. Systeminformasjon (msinfo32.exe) viser Secure Boot State PCR7 Binding som «Ikke mulig».
  4. Windows UEFI CA 2023-sertifikatet finnes i enhetens Secure Boot Signature Database (DB), noe som gjør enheten kvalifisert for at den 2023-signerte Windows Boot Manager skal settes som standard.
  5. Enheten kjører ikke allerede den 2023-signerte Windows Boot Manager.

I dette scenarioet trenger BitLocker-gjenopprettingsnøkkelen bare å angis én gang – etterfølgende omstarter utløser ikke et BitLocker-gjenopprettingsskjermbilde så lenge gruppepolicykonfigurasjonen forblir uendret. Hvis du vil ha hjelp til å finne BitLocker-gjenopprettingsnøkkelen, kan du se artikkelen Finne BitLocker-gjenopprettingsnøkkelen.

Virksomheter anbefales å kontrollere BitLocker-gruppepolicyene for eksplisitt PCR7-inkludering og sjekke msinfo32.exe for PCR7-bindingsstatus før denne oppdateringen installeres. (Se den midlertidige løsningen nedenfor.)

Løsning

Dette problemet er løst i KB5093998. Når du har installert KB5093998, blir enheter med denne inkompatible gruppepolicykonfigurasjonen forhindret fra å installere den 2023-signerte Windows Boot Manager. Hvis enheten ble påvirket, vises hendelses-ID 1032 i systemhendelsesloggen når du installerer Windows-oppdateringer: «Secure Boot-oppdateringen Boot Manager (2023) ble ikke brukt på grunn av en kjent inkompatibilitet med gjeldende BitLocker-konfigurasjon.»

Hvis du mottar hendelses-ID 1032, anbefaler Microsoft på det sterkeste å fjerne gruppepolicy-konfigurasjonen før du installerer oppdateringer, slik at du kan installere den 2023-signerte Windows Boot Manager og fortsette å motta den nyeste Secure Boot-beskyttelsen.

Fjern konfigurasjonen av gruppepolicy før du installerer oppdateringen (anbefales)

  1. Åpne Gruppepolicyredigering (gpedit.msc) eller Konsoll for gruppepolicybehandling.
  2. Gå til: Datamaskinkonfigurasjon Administrative > maler > Windows-komponenter > BitLocker-stasjonskryptering > operativsystemstasjoner.
  3. Sett «Konfigurer TPM-plattformvalideringsprofil for opprinnelige UEFI-fastvarekonfigurasjoner» til «Ikke konfigurert».
  4. Kjør denne kommandoen på berørte enheter for å oppdatere policyendringen: gpupdate /force
  5. Kjør følgende kommando for å avbryte BitLocker (hvis BitLocker er aktivert på C:-stasjonen): manage-bde -protectors -disable C:
  6. Kjør følgende kommando for å fortsette BitLocker (hvis BitLocker er aktivert på C:-stasjonen): manage-bde -protectors -enable C:
  7. Dette oppdaterer BitLocker-bindingene til å bruke den Windows-valgte standard PCR-profilen.

Hvis du ikke vil fjerne denne gruppepolicy-konfigurasjonen, kan du installere den nye Windows oppstartsbehandling ved å midlertidig deaktivere BitLocker og installere Sikker oppstart-oppdateringen. Slik gjør du det:

  1. Kjør følgende kommando for å avbryte BitLocker (hvis BitLocker er aktivert på C:-stasjonen): manage-bde -protectors -disable C:
  2. Kjør følgende kommando: Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"
  3. Start enheten på nytt.
  4. Når den nye Windows Oppstartsbehandling er installert, aktiverer du BitLocker ved å kjøre kommandoen: manage-bde -protectors -enable C:

Slik får du denne oppdateringen

Før du installerer denne oppdateringen

Microsoft kombinerer den nyeste servicestakkoppdateringen (SSU) for operativsystemet ditt med den nyeste kumulative oppdateringen (LCU). Hvis du vil ha generell informasjon om SSU-er, kan du se Servicestakkoppdateringer.

Installer denne oppdateringen

Bruk én av følgende utgivelseskanaler for Windows og Microsoft for å installere denne oppdateringen.


Tilgjengelig Neste trinn
Inkludert Denne oppdateringen lastes ned og installeres automatisk fra Windows Update og Microsoft Update.

Obs!

Filinformasjon

Du finner en liste over filene i denne oppdateringen ved å laste ned filinformasjonen for samleoppdatering 5087420.

Du finner en liste over filene i servicestakkoppdateringen ved å laste ned filinformasjonen for SSU (KB5086307) – versjoner 22621.6937.

Microsoft Store for bedrifter og utdanning med Konfigurasjonsbehandling

Få oppdateringer for apper og spill i Microsoft Store