12 mei 2026 - KB5087539 (OS-build 26100.32860)
Van toepassing op
Releasedatum:
12-05-2026
Versie:
OS-build 26100.32860
Deze cumulatieve update voor Windows Server 2025 (KB5087539), bevat de nieuwste beveiligingspatches en verbeteringen, samen met niet-beveiligingsupdates van de optionele preview-release van vorige maand. Zie Uitleg over maandelijkse windows-updates voor meer informatie over verschillen tussen beveiligingsupdates, optionele niet-beveiligingsupdates, out-of-band (OOB)-updates en continue innovatie. Zie de verschillende typen Windows-software-updates voor meer informatie over de terminologie van Windows-updates.
Als u de meest recente updates over deze release wilt bekijken, gaat u naar het Windows-releasestatusdashboard of de pagina met de updategeschiedenis voor Windows Server 2025.
Aankondigingen en berichten
Deze sectie bevat belangrijke meldingen met betrekking tot deze release, waaronder aankondigingen, wijzigingslogboeken en kennisgevingen over het einde van de ondersteuning.
Verlopen van Windows Secure Boot-certificaat
Ikdenk dat secure boot-certificaten die door de meeste Windows-apparaten worden gebruikt, zijn ingesteld om te verlopen vanaf juni 2026. Dit kan van invloed zijn op de mogelijkheid van bepaalde persoonlijke en zakelijke apparaten om veilig op te starten als deze niet op tijd is bijgewerkt. Om onderbrekingen te voorkomen, raden we u aan de richtlijnen te bekijken en van tevoren actie te ondernemen om certificaten bij te werken. Zie voor meer informatie en voorbereidingsstappen Het verlopen van Windows Secure Boot-certificaat en CA-updates en de blog Windows Server Secure playbook.
|
Datum wijzigen |
Beschrijving wijzigen |
|
dinsdag 9 juni 2026 |
Bekende problemen bijgewerkt: Oplossing toegevoegd voor 'Apparaten met een niet-aanbevolen BitLocker-groepsbeleid-configuratie is mogelijk vereist om hun BitLocker-herstelsleutel in te voeren'. |
|
dinsdag 27 mei 2026 |
Bijgewerkte opdrachten (MSU-tekenreeksen) onder Catalogus. |
|
dinsdag 15 mei 2026 |
Active Directory Certificate Services-update toegevoegd. |
|
dinsdag 13 mei 2026 |
Releaseopmerking voor beveiligd opstarten toegevoegd: Met deze update wordt een nieuwe SecureBoot map toegevoegd onder C:\Windowsop in aanmerking komende apparaten. |
Verbeteringen
Deze beveiligingsupdate bevat correcties en kwaliteitsverbeteringen van KB5082063 (van 14 april 2026) en KB5091157 (release 19 april 2026). In de volgende samenvatting vindt u een overzicht van de belangrijkste problemen die door deze update zijn opgelost. Ook zijn er nieuwe functies beschikbaar. De vetgedrukte tekst tussen de haken geeft het item of gebied van de wijziging aan.
-
[Beveiligd opstarten]
-
Met deze update bevatten kwaliteitsupdates van Windows extra gegevens voor apparaten met hoge betrouwbaarheid, waardoor de dekking van apparaten die in aanmerking komen om automatisch nieuwe Secure Boot-certificaten te ontvangen, toeneemt. Apparaten ontvangen de nieuwe certificaten pas na het aantonen van voldoende geslaagde updatesignalen, waarbij een gecontroleerde en gefaseerde implementatie wordt gehandhaafd.
-
Met deze update wordt een nieuwe SecureBootmap toegevoegd onder C:\Windowsop in aanmerking komende apparaten. De map bevat voorbeeldscripts die zijn bedoeld voor organisaties met IT-professionals die updates voor hun hele apparaatpark actief beheren. Deze scripts kunnen worden gebruikt om de status van de secure boot-certificaatupdate te detecteren en de implementatie te automatiseren via een veilig implementatiemechanisme in een Active Directory-omgeving. Zie Voorbeeld van E2E Automation-handleiding voor beveiligd opstarten voor meer informatie.
-
-
[Connectiviteit] Deze update verbetert de betrouwbaarheid van SSDP-meldingen (Simple Service Discovery Protocol) om te voorkomen dat de service niet meer reageert.
-
[Zomertijd (ZOMERTIJD)] Deze update ondersteunt de wijziging in de DST van 2023 voor de Arabische Republiek Egypte.
-
[Domeincontrollers] Deze update verbetert de prestaties van LSASS (Local Security Authority Subsystem Service) op domeincontrollers wanneer Microsoft Defender is ingeschakeld. Het vermindert het CPU- en geheugengebruik tijdens gebeurtenistracering voor Windows-verzameling van IDL_DRSGetNCChanges gebeurtenissen.
-
[Extern bureaublad (bekend probleem)] Opgelost: Met deze update wordt een probleem opgelost dat van invloed is op het dialoogvenster Verbinding met extern bureaublad. Het dialoogvenster kan onjuist worden weergegeven in scenario met meerdere beeldschermen wanneer de monitors een andere schaalset hadden. Dit kan gebeuren na de installatie van de beveiligingsupdate van april 2026 (KB5082063). Zie Informatie over beveiligingswaarschuwingen bij het openen van RDP-bestanden (Extern bureaublad) voor meer informatie.
-
[Aanmelden] Nadat u de Windows-update hebt geïnstalleerd die is uitgebracht op of na 10 maart 2026, kunnen sommige gebruikers een probleem ondervinden bij het aanmelden bij apps met een Microsoft-account. Zelfs wanneer het apparaat een werkende internetverbinding heeft, wordt er een fout 'geen internet' weergegeven tijdens het aanmelden en wordt de toegang tot Microsoft-services en -apps, zoals Microsoft Teams, geblokkeerd.
-
[Active Directory Certificate Services] Deze update voegt ondersteuning toe voor post-kwantumhandtekeningen in Active Directory Certificate Services (AD CS) voor ml-DSA (Module-Lattice-Based Digital Signature Algorithm). Beheerders kunnen nieuwe certificeringsinstanties configureren met ML-DSA-44, ML-DSA-65 of ML-DSA-87 en kwantumbestendige certificaten uitgeven voor ondertekening van code, TLS (Transport Layer Security) en OCSP-antwoordondertekening (Online Certificate Status Protocol).
Als u al eerdere updates hebt geïnstalleerd, downloadt en installeert uw apparaat alleen de nieuwe updates die in dit pakket zijn opgenomen.
Zie de Handleiding voor beveiligingsupdates en de beveiligings-Updates van mei 2026 voor meer informatie over beveiligingsproblemen.
Windows Server 2025-onderhoudsstackupdate (KB5089717) - 26100.32837
Met deze update worden kwaliteitsverbeteringen aangebracht in de onderhoudsstack. Dit is het onderdeel dat Windows-updates installeert. Onderhoudsstackupdates (SSU) zorgen ervoor dat u een robuuste en betrouwbare onderhoudsstack hebt, zodat uw apparaten Microsoft-updates kunnen ontvangen en installeren. Zie De on-premises implementatie van onderhoudsstackupdates vereenvoudigen voor meer informatie over SSU's.
Bekende problemen in deze update
Symptoom
Sommige apparaten met een niet-aanbevolen BitLocker-groepsbeleidsconfiguratie moeten mogelijk hun BitLocker-herstelsleutel invoeren bij de eerste herstart na het installeren van deze update.
Dit probleem is alleen van invloed op een beperkt aantal systemen waarin aan ALLE van de volgende voorwaarden wordt voldaan. Deze voorwaarden zijn waarschijnlijk niet gevonden op persoonlijke apparaten die niet worden beheerd door IT-afdelingen.
-
BitLocker is ingeschakeld op het besturingssysteemstation.
-
Het groepsbeleidsinstelling 'Configureer TPM-platformvalidatieprofiel voor native UEFI-firmwareconfiguraties' is geconfigureerd en PCR7 is opgenomen in het validatieprofiel (of de equivalente registersleutel is handmatig ingesteld).
-
Systeeminformatie (msinfo32.exe) rapporteert secure boot state PCR7 Binding als 'Niet mogelijk'.
-
Het Windows UEFI CA 2023-certificaat is aanwezig in de Secure Boot Signature Database (DB) van het apparaat, waardoor het apparaat in aanmerking komt voor het met 2023 ondertekende Windows Opstartbeheer als standaardinstelling.
-
Op het apparaat wordt het met 2023 ondertekende Windows Opstartbeheer nog niet uitgevoerd.
In dit scenario hoeft de BitLocker-herstelsleutel slechts eenmaal te worden ingevoerd. Als je opnieuw opstart, wordt er geen BitLocker-herstelscherm geactiveerd, zolang de configuratie van het groepsbeleid ongewijzigd blijft. Zie het artikel Uw BitLocker-herstelsleutel zoeken voor hulp bij het vinden van uw BitLocker-herstelsleutel.
Ondernemingen wordt aangeraden hun BitLocker-groepsbeleid te controleren op expliciete PCR7-opname en msinfo32.exe te controleren op PCR7-bindingsstatus voordat je deze update installeert. (Zie de tijdelijke oplossing hieronder.)
Tijdelijke oplossing
Dit probleem wordt opgelost in KB5094125. Na de installatie van KB5094125 kunnen apparaten met deze incompatibele groepsbeleidsconfiguratie niet de met 2023 ondertekende Windows Boot Manager installeren. Als uw apparaat is beïnvloed, wordt gebeurtenis-id 1032 weergegeven in het systeemgebeurtenislogboek bij het installeren van Windows-updates: 'De update Voor beveiligd opstarten opstartbeheer (2023) is niet toegepast vanwege een bekende incompatibiliteit met de huidige BitLocker-configuratie.'
Als u gebeurtenis-id 1032 ontvangt, raadt Microsoft ten zeerste aan de configuratie van de groepsbeleid te verwijderen voordat u updates installeert, zodat u de met 2023 ondertekende Windows Boot Manager kunt installeren en de meest recente beveiliging tegen beveiligd opstarten kunt blijven ontvangen.
Verwijder de groepsbeleid configuratie voordat u de update installeert (aanbevolen)
-
Open groepsbeleid-editor (gpedit.msc) of je console Groepsbeleidbeheer.
-
Navigeer naar: Computerconfiguratie > Beheersjablonen > Windows-onderdelen > BitLocker-stationsversleuteling > besturingssysteemstations.
-
Stel 'Configureer TPM-platformvalidatieprofiel voor native UEFI-firmwareconfiguraties' in op 'Niet geconfigureerd'.
-
Voer de volgende opdracht uit op betrokken apparaten om de beleidswijziging door te geven: gpupdate /force
-
Voer de volgende opdracht uit om BitLocker te onderbreken (als BitLocker is ingeschakeld op station C:): manage-bde -protectors -disable C:
-
Voer de volgende opdracht uit om BitLocker te hervatten (als BitLocker is ingeschakeld op station C:): manage-bde -protectors -enable C:
-
Hiermee worden de BitLocker-bindingen bijgewerkt om het door Windows geselecteerde standaard-PCR-profiel te gebruiken.
Als u deze groepsbeleid configuratie niet wilt verwijderen, kunt u de nieuwe Windows Opstartbeheer installeren door BitLocker tijdelijk te onderbreken en de update voor beveiligd opstarten te installeren. Dit doet u als volgt:
-
Voer de volgende opdracht uit om BitLocker te onderbreken (als BitLocker is ingeschakeld op station C:): manage-bde -protectors -disable C:
-
Voer de volgende opdracht uit: Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"
-
Start het apparaat opnieuw op.
-
Zodra het nieuwe Windows Opstartbeheer is geïnstalleerd, schakelt u BitLocker in door de opdracht manage-bde -protectors -enable C uit te voeren:
Na de installatie van KB5070881 of latere updates worden in Windows Server Update Services (WSUS) geen synchronisatiefoutdetails weergegeven in de foutenrapportage. Deze functionaliteit wordt tijdelijk verwijderd om het beveiligingslek met betrekking tot het uitvoeren van externe code op te lossen, CVE-2025-59287.
Deze update downloaden
Voordat u deze update installeert
Microsoft combineert de meest recente onderhoudsstackupdate (SSU) voor uw besturingssysteem met de meest recente cumulatieve update (LCU). Zie Onderhoudsstackupdates voor algemene informatie over SSU's.
Deze update installeren
Als u deze update wilt installeren, gebruikt u een van de volgende Windows- en Microsoft-releasekanalen.
|
Beschikbaar |
Volgende stap |
|
|
|
Deze update wordt automatisch gedownload en geïnstalleerd vanuit Windows Update en Microsoft Update. |
|
Beschikbaar |
Volgende stap |
|
|
Deze update wordt automatisch gedownload en geïnstalleerd vanuit Windows Update voor Bedrijven in overeenstemming met geconfigureerde beleidsregels. |
|
Beschikbaar |
Volgende stap |
|||||
|
|
Als u deze release wilt installeren vanuit de Microsoft Update-catalogus, volgt u deze instructies:Voordat u deze update installeert, zijn de zelfstandige pakketten voor deze update beschikbaar op de website van Microsoft Update-catalogus . Deze KB bevat een of meer MSU-bestanden waarvoor installatie in een specifieke volgorde is vereist. U kunt deze update installeren met behulp van methode 1 (installeer alle MSU-bestanden samen) of methode 2 (installeer elk MSU-bestand afzonderlijk, in volgorde). Methode 1: Alle MSU-bestanden samen installeren Download alle MSU-bestanden voor KB5087539 uit de Microsoft Update-catalogus en plaats ze in dezelfde map (bijvoorbeeld C:/Packages). Gebruik Deployment Image Servicing and Management (DISM.exe) om de doelupdate te installeren. DISM gebruikt de map die is opgegeven in PackagePath om zo nodig een of meer vereiste MSU-bestanden te detecteren en te installeren. Windows-pc bijwerken Als u deze update wilt toepassen op een actieve Windows-pc, voert u de volgende opdracht uit vanaf een opdrachtprompt met verhoogde bevoegdheid:
Of voer de volgende opdracht uit vanaf een Windows PowerShell prompt met verhoogde bevoegdheid:
Of gebruik Windows Update zelfstandige installatieprogramma om de doelupdate te installeren. Windows-installatiemedia bijwerken Zie Windows-installatiemedia bijwerken met Dynamische update als u deze update wilt toepassen op Windows-installatiemedia. Opmerking: Wanneer u andere dynamische updatepakketten downloadt, moet u ervoor zorgen dat deze overeenkomen met dezelfde maand als deze KB. Als de dynamische safeOS-update of dynamische update voor instellen niet beschikbaar is voor dezelfde maand als deze KB, gebruikt u de meest recent gepubliceerde versie van elke update. Als u deze update wilt toevoegen aan een gekoppelde installatiekopieën, voert u de volgende opdracht uit vanaf een opdrachtprompt met verhoogde bevoegdheid:
Of voer de volgende opdracht uit vanaf een Windows PowerShell prompt met verhoogde bevoegdheid:
Methode 2: Elk MSU-bestand afzonderlijk installeren, in volgorde Download en installeer elk MSU-bestand afzonderlijk met behulp van DISM of Windows Update Standalone Installer in de volgende volgorde:
|
|
Beschikbaar |
Volgende stap |
|
|
Deze update wordt automatisch gesynchroniseerd met Windows Server Update Services (WSUS) als u Producten en classificaties als volgt configureert: Product: Microsoft Server-besturingssysteem-24H2 Categorie: Beveiligingsupdates |
Als u deze update wilt verwijderen
Voordat u besluit deze update te verwijderen, raadpleegt u Inzicht in de risico's: waarom u beveiligingsupdates niet moet verwijderen.
Als u de LCU wilt verwijderen nadat u het gecombineerde SSU- en LCU-pakket hebt geïnstalleerd, gebruikt u de opdrachtregeloptie DISM/Remove-Package met de naam van het LCU-pakket als argument. U kunt de pakketnaam vinden met behulp van deze opdracht: DISM /online /get-packages.
Het uitvoeren van Windows Update Standalone Installer (wusa.exe) met de schakeloptie /uninstall op het gecombineerde pakket werkt niet omdat het gecombineerde pakket de SSU bevat. U kunt de SSU niet verwijderen uit het systeem na de installatie.
Bestandsinformatie
Download de bestandsinformatie voor cumulatieve update 5087539 voor een lijst van bestanden die deel uit maken van deze update.
Download de bestandsinformatie voor de SSU (KB5089717) - versie 26100.32837 voor een lijst van bestanden in de onderhoudsstackupdate.
Meer hulp nodig?
Meer opties?
Verken abonnementsvoordelen, blader door trainingscursussen, leer hoe u uw apparaat kunt beveiligen en meer.
Community's helpen u vragen te stellen en te beantwoorden, feedback te geven en te leren van experts met uitgebreide kennis.
