12 mei 2026 - KB5087539 (OS-build 26100.32860)

Van toepassing op
Windows Server 2025, all editions

Deze cumulatieve update voor Windows Server 2025 (KB5087539) bevat de nieuwste beveiligingspatches en verbeteringen, samen met niet-beveiligingsupdates van de optionele preview-release van vorige maand. Zie Uitleg over maandelijkse updates voor Windows voor meer informatie over verschillen tussen beveiligingsupdates, optionele niet-beveiligingsupdates, out-of-band (OOB)-updates en continue innovatie. Zie de verschillende typen Windows-software-updates voor meer informatie over Windows-updateterminologie.

Ga naar het dashboard voor de status van Windows-releases of de pagina met updategeschiedenis voor Windows Server 2025 om de nieuwste updates voor deze release te bekijken.

Aankondigingen en berichten

Deze sectie bevat belangrijke meldingen met betrekking tot deze release, waaronder aankondigingen, wijzigingslogboeken en kennisgevingen over het einde van de ondersteuning.

Verlopen van Windows Secure Boot-certificaat

Verlopen van Windows Secure Boot-certificaat

Belangrijk: Certificaten voor beveiligd opstarten die door de meeste Windows-apparaten worden gebruikt, verlopen vanaf juni 2026. Dit kan van invloed zijn op de mogelijkheid van bepaalde persoonlijke en zakelijke apparaten om veilig op te starten als deze niet op tijd is bijgewerkt. Om onderbrekingen te voorkomen, raden we u aan de richtlijnen te bekijken en van tevoren actie te ondernemen om certificaten bij te werken. Zie voor meer informatie en voorbereidingsstappen de updates voor het verlopen van het Windows Secure Boot-certificaat en CA-updates en de Windows Server Secure-playbookblog.

Wijzigingenlogboek
Datum wijzigen Beschrijving van wijziging
9 juni 2026 Bekende problemen bijgewerkt: Oplossing toegevoegd voor 'Apparaten met een niet-aanbevolen BitLocker-groepsbeleid-configuratie moeten mogelijk hun BitLocker-herstelsleutel invoeren'.
27 mei 2026 Bijgewerkte opdrachten (MSU-tekenreeksen) onder Catalogus.
15 mei 2026 Active Directory Certificate Services-update toegevoegd.
13 mei 2026 Releaseopmerking voor beveiligd opstarten toegevoegd: Met deze update wordt een nieuwe SecureBootmap toegevoegd onder C:\Windows op apparaten die daarvoor in aanmerking komen.

Verbeteringen

Deze beveiligingsupdate bevat oplossingen en kwaliteitsverbeteringen vanKB5082063 (van 14 april 2026) en KB5091157 (van 19 april 2026). De volgende samenvatting geeft een overzicht van de belangrijkste problemen die door deze update zijn opgelost. Er zijn ook nieuwe functies beschikbaar. De vetgedrukte tekst tussen vierkante haken geeft het item of gebied aan van de wijziging die wemelt.

  • [Beveiligd opstarten]

    • Met deze update bevatten Windows-kwaliteitsupdates aanvullende betrouwbare apparaatdoelgegevens, waardoor de dekking wordt vergroot van apparaten die in aanmerking komen voor het automatisch ontvangen van nieuwe certificaten voor beveiligd opstarten. Apparaten ontvangen de nieuwe certificaten pas nadat voldoende succesvolle updatesignalen zijn aangetoond, waardoor een gecontroleerde en gefaseerde implementatie wordt gehandhaafd.
    • Met deze update wordt een nieuwe SecureBoot map toegevoegd onder C:\Windows op apparaten die in aanmerking komen. De map bevat voorbeeldscripts die zijn bedoeld voor organisaties met IT-professionals die actief updates voor al hun apparaten beheren. Deze scripts kunnen worden gebruikt om de updatestatus van Secure Boot-certificaten te detecteren en de implementatie te automatiseren via een veilig implementatiemechanisme in een Active Directory-omgeving. Zie Voorbeeld van E2E-automatiseringshandleiding voor beveiligd opstarten voor meer informatie.
  • [Connectiviteit] Deze update verbetert de betrouwbaarheid van SSDP-meldingen (Simple Service Discovery Protocol) om te voorkomen dat de service niet meer reageert.

  • [Zomertijd (ZOMERTIJD)] Deze update ondersteunt de DST-wijziging van 2023 voor de Arabische Republiek Egypte.

  • [Domeincontrollers] Deze update verbetert de prestaties van de Local Security Authority Subsystem Service (LSASS) op domeincontrollers als Microsoft Defender is ingeschakeld. Het vermindert het CPU- en geheugengebruik tijdens Event Tracing for Windows-verzameling van IDL_DRSGetNCChanges gebeurtenissen.

  • [Extern bureaublad (bekend probleem)] Opgelost: met deze update wordt een probleem opgelost dat van invloed is op het dialoogvenster voor de beveiligingswaarschuwing Verbinding met extern bureaublad. Het dialoogvenster kan onjuist worden weergegeven in scenario's met meerdere beeldschermen wanneer de beeldschermen een andere schaaloptie hebben. Dit kan zich voordoen na de installatie van de beveiligingsupdate van april 2026 (KB5082063). Zie Beveiligingswaarschuwingen bij het openen van RDP-bestanden (Extern bureaublad) voor meer informatie.

  • [Aanmelden] Nadat u de Windows-update hebt geïnstalleerd die is uitgebracht op of na 10 maart 2026, kunnen sommige gebruikers problemen ondervinden bij het aanmelden bij apps met een Microsoft-account. Zelfs wanneer het apparaat een werkende internetverbinding heeft, wordt de fout 'geen internet' weergegeven tijdens het aanmelden en krijgt u geen toegang tot Microsoft-services en -apps, zoals Microsoft Teams.

  • [Active Directory Certificate Services] Deze update voegt ondersteuning toe voor post-kwantumhandtekeningen op basis van Module-Lattice Digital Signature Algorithm (ML-DSA) in Active Directory Certificate Services (AD CS).  Beheerders kunnen nieuwe certificeringsinstanties configureren met ML-DSA-44, ML-DSA-65 of ML-DSA-87, en kwantumbestendige certificaten uitgeven voor codeondertekening, TLS (Transport Layer Security) en OCSP-antwoordondertekening (Online Certificate Status Protocol).

Als u al eerdere updates hebt geïnstalleerd, worden alleen de nieuwe updates in dit pakket gedownload en geïnstalleerd op uw apparaat.

Zie de Security Update Guide en de Security Updates van mei 2026 voor meer informatie over beveiligingsproblemen.

Windows Server 2025-onderhoudsstackupdate (KB5089717) 26100.32837

Met deze update worden kwaliteitsverbeteringen aangebracht in de onderhoudsstack. Dit is het onderdeel dat Windows-updates installeert. Updates voor de onderhoudsstack (SSU) zorgen ervoor dat u over een robuuste en betrouwbare onderhoudsstack beschikt, zodat uw apparaten Microsoft-updates kunnen ontvangen en installeren. Zie On-premises implementatie van onderhoudsstackupdates vereenvoudigen voor meer informatie over SSU's.

Bekende problemen in deze update

Apparaten met een niet-aanbevolen BitLocker-groepsbeleid-configuratie moeten mogelijk hun BitLocker-herstelsleutel invoeren

Symptoom

Sommige apparaten met een niet-aanbevolen BitLocker-groepsbeleidsconfiguratie moeten mogelijk hun BitLocker-herstelsleutel invoeren bij de eerste herstart na het installeren van deze update.

Dit probleem doet zich alleen voor bij een beperkt aantal systemen waarin ALLE onderstaande voorwaarden waar zijn. Deze voorwaarden zijn waarschijnlijk niet gevonden op persoonlijke apparaten die niet worden beheerd door IT-afdelingen.

  1. BitLocker is ingeschakeld op het besturingssysteemstation.
  2. Het groepsbeleidsinstelling 'Configureer TPM-platformvalidatieprofiel voor native UEFI-firmwareconfiguraties' is geconfigureerd en PCR7 is opgenomen in het validatieprofiel (of de equivalente registersleutel is handmatig ingesteld).
  3. Systeeminformatie (msinfo32.exe) rapporteert secure boot state PCR7 Binding als 'Niet mogelijk'.
  4. Het Windows UEFI CA 2023-certificaat is aanwezig in de Secure Boot Signature Database (DB) van het apparaat, waardoor het apparaat in aanmerking komt voor het met 2023 ondertekende Windows Opstartbeheer als standaardinstelling.
  5. Op het apparaat wordt het met 2023 ondertekende Windows Opstartbeheer nog niet uitgevoerd.

In dit scenario hoeft de BitLocker-herstelsleutel slechts eenmaal te worden ingevoerd. Als je opnieuw opstart, wordt er geen BitLocker-herstelscherm geactiveerd, zolang de configuratie van het groepsbeleid ongewijzigd blijft. Zie het artikel Uw BitLocker-herstelsleutel zoeken voor hulp bij het vinden van uw BitLocker-herstelsleutel.

Ondernemingen wordt aangeraden hun BitLocker-groepsbeleid te controleren op expliciete PCR7-opname en msinfo32.exe te controleren op PCR7-bindingsstatus voordat je deze update installeert. (Zie de tijdelijke oplossing hieronder.)

Tijdelijke oplossing

Dit probleem wordt opgelost in KB5094125. Na de installatie van KB5094125 kunnen apparaten met deze incompatibele configuratie van groepsbeleid de in 2023 ondertekende Windows Boot Manager niet installeren. Als uw apparaat is getroffen, wordt gebeurtenis-id 1032 weergegeven in het systeemgebeurtenislogboek bij het installeren van Windows-updates: 'De Secure Boot-update Boot Manager (2023) is niet toegepast vanwege een bekende incompatibiliteit met de huidige BitLocker-configuratie.'

Als gebeurtenis-id 1032 wordt weergegeven, raadt Microsoft ten zeerste aan de configuratie van het groepsbeleid te verwijderen voordat je updates installeert, zodat je de in 2023 ondertekende Windows Boot Manager kunt installeren en de nieuwste Secure Boot-beveiligingen kunt blijven ontvangen.

De configuratie van het groepsbeleid verwijderen voordat u de update installeert (aanbevolen)

  1. Open groepsbeleid-editor (gpedit.msc) of je console Groepsbeleidbeheer.
  2. Navigeer naar: Beheersjablonen > voor computerconfiguratie > Windows-onderdelen > BitLocker-stationsversleuteling Besturingssysteemstations>.
  3. Stel 'Configureer TPM-platformvalidatieprofiel voor native UEFI-firmwareconfiguraties' in op 'Niet geconfigureerd'.
  4. Voer de volgende opdracht uit op betrokken apparaten om de beleidswijziging door te geven: gpupdate /force
  5. Voer de volgende opdracht uit om BitLocker te onderbreken (als BitLocker is ingeschakeld op station C:): manage-bde -protectors -disable C:
  6. Voer de volgende opdracht uit om BitLocker te hervatten (als BitLocker is ingeschakeld op station C:): manage-bde -protectors -enable C:
  7. Hiermee worden de BitLocker-bindingen bijgewerkt om het door Windows geselecteerde standaard PCR-profiel te gebruiken.

Als je deze configuratie van het groepsbeleid niet wilt verwijderen, kun je de nieuwe Windows Boot Manager installeren door BitLocker tijdelijk te onderbreken en de update voor beveiligd opstarten te installeren. Dit doet u als volgt:

  1. Voer de volgende opdracht uit om BitLocker te onderbreken (als BitLocker is ingeschakeld op station C:): manage-bde -protectors -disable C:
  2. Voer de volgende opdracht uit: Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"
  3. Start het apparaat opnieuw op.
  4. Zodra de nieuwe Windows Boot Manager is geïnstalleerd, schakel je BitLocker in door de opdracht uit te voeren: manage-bde -protectors -enable C:
In Windows Server Update Services (WSUS) worden geen foutdetails weergegeven

Na de installatie van KB5070881 of latere updates worden in Windows Server Update Services (WSUS) geen synchronisatiefoutdetails weergegeven in de foutenrapportage. Deze functionaliteit wordt tijdelijk verwijderd om het beveiligingslek met betrekking tot het uitvoeren van externe code, CVE-2025-59287, op te lossen.

Hoe u deze update kunt downloaden

Voordat u deze update installeert

Microsoft combineert de meest recente onderhoudsstackupdate (SSU) voor uw besturingssysteem met de meest recente cumulatieve update (LCU). Zie Onderhoudsstackupdates voor algemene informatie over SSU's.

Deze update installeren

Gebruik een van de volgende releasekanalen van Windows en Microsoft om deze update te installeren.


Beschikbaar Volgende stap
Inbegrepen Deze update wordt automatisch gedownload en geïnstalleerd vanuit Windows Update en Microsoft Update.

Opmerking

Bestandsinformatie

Download de bestandsinformatie voor de cumulatieve update 5087539 voor een lijst van bestanden die deel uitmaken van deze update.

Download de bestandsinformatie voor de SSU (KB5089717) versie 26100.32837 voor een lijst van bestanden die deel uitmaken van de onderhoudsstackupdate.