Deze cumulatieve update voor Windows Server 2025 (KB5082063) bevat de nieuwste beveiligingspatches en verbeteringen, samen met niet-beveiligingsupdates van de optionele preview-release van vorige maand. Zie Uitleg over maandelijkse updates voor Windows voor meer informatie over verschillen tussen beveiligingsupdates, optionele niet-beveiligingsupdates, out-of-band (OOB)-updates en continue innovatie. Zie de verschillende typen Windows-software-updates voor meer informatie over Windows-updateterminologie.
Ga naar het dashboard voor de status van Windows-releases of de pagina met updategeschiedenis voor Windows Server 2025 om de nieuwste updates voor deze release te bekijken.
Aankondigingen en berichten
Deze sectie bevat belangrijke meldingen met betrekking tot deze release, waaronder aankondigingen, wijzigingslogboeken en kennisgevingen over het einde van de ondersteuning.
Verlopen van Windows Secure Boot-certificaat
Verlopen van Windows Secure Boot-certificaat
Belangrijk: Certificaten voor beveiligd opstarten die door de meeste Windows-apparaten worden gebruikt, verlopen vanaf juni 2026. Dit kan van invloed zijn op de mogelijkheid van bepaalde persoonlijke en zakelijke apparaten om veilig op te starten als deze niet op tijd is bijgewerkt. Om onderbrekingen te voorkomen, raden we u aan de richtlijnen te bekijken en van tevoren actie te ondernemen om certificaten bij te werken. Zie voor meer informatie en voorbereidingsstappen de updates voor het verlopen van het Windows Secure Boot-certificaat en CA-updates en de Windows Server Secure-playbookblog.
Wijzigingenlogboek
| Datum wijzigen | Beschrijving van wijziging |
|---|---|
| 9 juni 2026 |
|
| 12 mei 2026 | Wijziging van bekend probleem: Bijgewerkte tijdelijke oplossing voor 'Waarschuwingen met betrekking tot Extern bureaublad worden mogelijk niet correct weergegeven'. |
| 1 mei 2026 | Verbetering toegevoegd: [Blokkeringslijst voor kwetsbare chauffeurs] |
| dinsdag 27 april 2026 | Update van bekend probleem: Titelrevisie voor bekend probleem 'Waarschuwingen met betrekking tot Extern bureaublad worden mogelijk niet correct weergegeven'. |
| 23 april. 2026 | Bekend probleem toegevoegd: 'Waarschuwingen met betrekking tot Extern bureaublad worden mogelijk niet correct weergegeven'. |
| dinsdag 21 april 2026 | Bekend probleem bijgewerkt: 'Apparaten met een niet-aanbevolen BitLocker-groepsbeleid-configuratie moeten mogelijk hun BitLocker-herstelsleutel invoeren'. |
| dinsdag 20 april 2026 | Het bekende probleem 'De installatie van deze update kan mislukken met fout 0x800F0983 of 0x80073712', is bewerkt ter verduidelijking. |
| 19 april 2026 |
|
| 17 april 2026 | Bekend probleem 'Domeincontrollers worden mogelijk herhaaldelijk opnieuw opgestart na installatie van deze update' is bijgewerkt ter verduidelijking. |
| 16 april 2026 | Bekend probleem toegevoegd: "Domeincontrollers worden mogelijk herhaaldelijk opnieuw opgestart na installatie van deze update" |
| 14 april 2026 | Bekend probleem toegevoegd: "Apparaten met een niet-aanbevolen configuratie van BitLocker-groepsbeleid moeten mogelijk hun BitLocker-herstelsleutel invoeren" |
Verbeteringen
Deze beveiligingsupdate bevat oplossingen en kwaliteitsverbeteringen van KB5078740 (van 10 maart 2026). De volgende samenvatting geeft een overzicht van de belangrijkste problemen die door deze update zijn opgelost. Er zijn ook nieuwe functies beschikbaar. De vetgedrukte tekst tussen vierkante haken geeft het item of gebied aan van de wijziging die wemelt.
[Beveiligd opstarten]
- Met deze update bevatten Windows-kwaliteitsupdates aanvullende betrouwbare apparaatdoelgegevens, waardoor de dekking wordt vergroot van apparaten die in aanmerking komen voor het automatisch ontvangen van nieuwe certificaten voor beveiligd opstarten. Apparaten ontvangen de nieuwe certificaten pas nadat voldoende succesvolle updatesignalen zijn aangetoond, waardoor een gecontroleerde en gefaseerde implementatie wordt gehandhaafd.
- Met deze update wordt een probleem opgelost waarbij het apparaat mogelijk BitLocker-herstel invoert na de updates voor beveiligd opstarten.
[Kerberos-protocol] Deze update wijzigt de standaard DefaultDomainSupportedEncTypes-waarde voor Kerberos Key Distribution Center (KDC)-bewerkingen om AES-SHA1 te gebruiken voor accounts waarvoor geen expliciet MSDS-SupportedEncryptionTypes Active Directory-kenmerk is gedefinieerd. Zie How to manage Kerberos KDC usage of RC4 for service account ticket uitgifte changes related to CVE-2026-20833.
[Verificatie] Deze update verbetert het gebruik van Kerberos-versleutelingsbeleid door Windows tijdens de verificatie. Nadat u deze update hebt geïnstalleerd, worden de geconfigureerde beleidsinstellingen gelezen zoals verwacht, zodat versleuteling op consistente wijze wordt toegepast in het hele domein.
[Bluetooth] Deze update verbetert het beheer van Bluetooth-apparaten in Instellingen en Snelle instellingen, waardoor verbonden apparaten consistent worden weergegeven en ze eenvoudiger kunnen worden toegevoegd en beheerd.
[Afbeeldingen] Deze update verbetert de kleurweergave bij het afdrukken vanuit Win32-bureaublad-apps.
[Netwerken] Deze update verbetert de betrouwbaarheid wanneer Windows SMB-compressie gebruikt via QUIC. Nadat u deze update hebt geïnstalleerd, worden SMB-compressieaanvragen via QUIC consistenter verwerkt, waardoor de kans op time-outs afneemt en soepelere, betrouwbaardere prestaties worden ondersteund.
[PowerShell] Deze update verbetert de manier waarop de Set-GPPrefRegistryValue-cmdlet in PowerShell registervoorkeurswaarden importeert. De cmdlet behoudt nu elke geïmporteerde waarde, inclusief het laatste teken.
[Extern bureaublad] Deze update verbetert de beveiliging tegen phishingaanvallen waarbij gebruik wordt gemaakt van RDP-bestanden (Extern bureaublad). Wanneer u een RDP-bestand opent, worden alle aangevraagde verbindingsinstellingen weergegeven voordat Extern bureaublad verbinding maakt, waarbij elke instelling standaard is uitgeschakeld. Er wordt ook een eenmalige beveiligingswaarschuwing weergegeven wanneer u een RDP-bestand voor het eerst op een apparaat opent. Zie Beveiligingswaarschuwingen bij het openen van RDP-bestanden (Extern bureaublad) voor meer informatie.
[Teksten en lettertypen] Deze update verbetert Windows-lettertypen door het toevoegen van het nieuwe valutasymbool voor de Saudi-Arabische riyal. Dankzij deze wijziging blijft de tekst duidelijk, nauwkeurig en visueel consistent in je Windows-apps en -ervaringen.
[Blokkeringslijst voor kwetsbare stuurprogramma's] Deze update introduceert een wijziging in de beveiliging die bekende kwetsbare kernelstuurprogramma's toevoegt aan de blokkeringslijst van kwetsbare stuurprogramma's van Microsoft. Back-uptoepassingen die afhankelijk zijn van geblokkeerde stuurprogramma's, kunnen fouten ervaren bij het koppelen of beheren van schijfkopieën.
Deze apps die gebruikmaken van geblokkeerde stuurprogramma's kunnen foutberichten weergeven, zoals 'De back-up is mislukt omdat er een time-out is opgetreden in Microsoft VSS tijdens het maken van de momentopname' of VSS_E_BAD_STATE. Getroffen gebruikers moeten bijwerken naar een nieuwere versie van hun toepassing die gebruikmaakt van nieuwere stuurprogramma's die de vereiste beveiligingen bevatten. Zie voor meer informatie Windows-beveiligingsupdates van april 2026 introduceren beveiligingen voor bekende kwetsbare kernelstuurprogramma's.[Windows Deployment Services (WDS)] Deze update schakelt de functie 'Handsfree implementatie' standaard uit in WDS en wordt niet langer ondersteund. Zie Windows Deployment Services (WDS) Hands-Free Deployment Hardening Guidance related to CVE-2026-0386 (Windows Deployment Services) voor meer informatie over deze wijziging.
Als u al eerdere updates hebt geïnstalleerd, worden alleen de nieuwe updates in dit pakket gedownload en geïnstalleerd op uw apparaat.
Zie de Security Update Guide en de Security Updates van april 2026 voor meer informatie over beveiligingsproblemen.
Windows Server 2025 onderhoudsstackupdate (KB5082062) - 26100.32692
Met deze update worden kwaliteitsverbeteringen aangebracht in de onderhoudsstack. Dit is het onderdeel dat Windows-updates installeert. Updates voor de onderhoudsstack (SSU) zorgen ervoor dat u over een robuuste en betrouwbare onderhoudsstack beschikt, zodat uw apparaten Microsoft-updates kunnen ontvangen en installeren. Zie On-premises implementatie van onderhoudsstackupdates vereenvoudigen voor meer informatie over SSU's.
Bekende problemen in deze update
De installatie van deze update kan mislukken met fout 0x800F0983 of 0x80073712
Symptoom
Een klein aantal apparaten installeert deze update mogelijk niet met een van de volgende foutmeldingen:
- 'Installatiefout - 0x800F0983'
- 'Sommige updatebestanden ontbreken of er zijn problemen. We proberen de update later opnieuw te downloaden. Foutcode: (0x80073712)"
Oplossing
Dit probleem is opgelost in out-of-band update KB5091157.
Opmerking
Hotpatch-ingeschreven Windows Server 2025-apparaten die door dit probleem worden beïnvloed, kunnen out-of-band update-KB5091157 installeren om dezelfde beveiligingen te ontvangen als de beveiligingsupdate van april (KB5082063). Het installeren van KB5091157 vereist echter een herstart en onderbreekt hotpatching. Hotpatch-updates worden hervat na de basislijnupdate van juli 2026.
Domeincontrollers kunnen herhaaldelijk opnieuw worden gestart na het installeren van deze update
Symptoom
Nadat je deze update hebt geïnstalleerd en opnieuw hebt opgestart, kunnen domeincontrollers (DC's) in omgevingen met meerdere domeinen in het forest die gebruikmaken van Privileged Access Management (PAM), LSASS-crashes ervaren tijdens het opstarten. Hierdoor kunnen betrokken domeincontrollers herhaaldelijk opnieuw worden gestart, waardoor verificatie en adreslijstservices niet meer werken en het domein mogelijk niet meer beschikbaar is.
Oplossing
Dit probleem is opgelost in out-of-band update KB5091157.
Opmerking
Als uw Windows Server 2025-apparaat is ingeschreven bij hotpatching, moet u in plaats daarvan de OOB-hotpatch-update KB5091470. Deze hotpatch-OOB-update wordt uitgebracht via Windows Update en vereist niet dat het apparaat opnieuw wordt opgestart.
Apparaten met een niet-aanbevolen BitLocker-groepsbeleid-configuratie moeten mogelijk hun BitLocker-herstelsleutel invoeren
Symptoom
Sommige apparaten met een niet-aanbevolen BitLocker-groepsbeleidsconfiguratie moeten mogelijk hun BitLocker-herstelsleutel invoeren bij de eerste herstart na het installeren van deze update.
Dit probleem doet zich alleen voor bij een beperkt aantal systemen waarin ALLE onderstaande voorwaarden waar zijn. Deze voorwaarden zijn waarschijnlijk niet gevonden op persoonlijke apparaten die niet worden beheerd door IT-afdelingen.
- BitLocker is ingeschakeld op het besturingssysteemstation.
- Het groepsbeleidsinstelling 'Configureer TPM-platformvalidatieprofiel voor native UEFI-firmwareconfiguraties' is geconfigureerd en PCR7 is opgenomen in het validatieprofiel (of de equivalente registersleutel is handmatig ingesteld).
- Systeeminformatie (msinfo32.exe) rapporteert secure boot state PCR7 Binding als 'Niet mogelijk'.
- Het Windows UEFI CA 2023-certificaat is aanwezig in de Secure Boot Signature Database (DB) van het apparaat, waardoor het apparaat in aanmerking komt voor het met 2023 ondertekende Windows Opstartbeheer als standaardinstelling.
- Op het apparaat wordt het met 2023 ondertekende Windows Opstartbeheer nog niet uitgevoerd.
In dit scenario hoeft de BitLocker-herstelsleutel slechts eenmaal te worden ingevoerd. Als je opnieuw opstart, wordt er geen BitLocker-herstelscherm geactiveerd, zolang de configuratie van het groepsbeleid ongewijzigd blijft. Zie het artikel Uw BitLocker-herstelsleutel zoeken voor hulp bij het vinden van uw BitLocker-herstelsleutel.
Ondernemingen wordt aangeraden hun BitLocker-groepsbeleid te controleren op expliciete PCR7-opname en msinfo32.exe te controleren op PCR7-bindingsstatus voordat je deze update installeert. (Zie de tijdelijke oplossing hieronder.)
Tijdelijke oplossing
Dit probleem wordt opgelost in KB5094125. Na de installatie van KB5094125 kunnen apparaten met deze incompatibele configuratie van groepsbeleid de in 2023 ondertekende Windows Boot Manager niet installeren. Als uw apparaat is getroffen, wordt gebeurtenis-id 1032 weergegeven in het systeemgebeurtenislogboek bij het installeren van Windows-updates: 'De Secure Boot-update Boot Manager (2023) is niet toegepast vanwege een bekende incompatibiliteit met de huidige BitLocker-configuratie.'
Als gebeurtenis-id 1032 wordt weergegeven, raadt Microsoft ten zeerste aan de configuratie van het groepsbeleid te verwijderen voordat je updates installeert, zodat je de in 2023 ondertekende Windows Boot Manager kunt installeren en de nieuwste Secure Boot-beveiligingen kunt blijven ontvangen.
De configuratie van het groepsbeleid verwijderen voordat u de update installeert (aanbevolen)
- Open groepsbeleid-editor (gpedit.msc) of je console Groepsbeleidbeheer.
- Navigeer naar: Beheersjablonen > voor computerconfiguratie > Windows-onderdelen > BitLocker-stationsversleuteling Besturingssysteemstations>.
- Stel 'Configureer TPM-platformvalidatieprofiel voor native UEFI-firmwareconfiguraties' in op 'Niet geconfigureerd'.
- Voer de volgende opdracht uit op betrokken apparaten om de beleidswijziging door te geven: gpupdate /force
- Voer de volgende opdracht uit om BitLocker te onderbreken (als BitLocker is ingeschakeld op station C:): manage-bde -protectors -disable C:
- Voer de volgende opdracht uit om BitLocker te hervatten (als BitLocker is ingeschakeld op station C:): manage-bde -protectors -enable C:
- Hiermee worden de BitLocker-bindingen bijgewerkt om het door Windows geselecteerde standaard PCR-profiel te gebruiken.
Als je deze configuratie van het groepsbeleid niet wilt verwijderen, kun je de nieuwe Windows Boot Manager installeren door BitLocker tijdelijk te onderbreken en de update voor beveiligd opstarten te installeren. Dit doet u als volgt:
- Voer de volgende opdracht uit om BitLocker te onderbreken (als BitLocker is ingeschakeld op station C:): manage-bde -protectors -disable C:
- Voer de volgende opdracht uit: Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"
- Start het apparaat opnieuw op.
- Zodra de nieuwe Windows Boot Manager is geïnstalleerd, schakel je BitLocker in door de opdracht uit te voeren: manage-bde -protectors -enable C:
In Windows Server Update Services (WSUS) worden geen foutdetails weergegeven
Na de installatie van KB5070881 of latere updates worden in Windows Server Update Services (WSUS) geen synchronisatiefoutdetails weergegeven in de foutenrapportage. Deze functionaliteit wordt tijdelijk verwijderd om het beveiligingslek met betrekking tot het uitvoeren van externe code, CVE-2025-59287, op te lossen.
Waarschuwingen met betrekking tot Extern bureaublad worden mogelijk niet correct weergegeven
Symptomen
Na installatie van deze update wordt de beveiligingswaarschuwing die wordt weergegeven bij het openen van RDP-bestanden (Extern bureaublad) in sommige gevallen mogelijk niet correct weergegeven.
Dit probleem kan optreden wanneer je meer dan één monitor gebruikt met verschillende instellingen voor de weergaveschaal (bijvoorbeeld een beeldscherm ingesteld op 100% en een ander ingesteld op 125%). Wanneer dit gebeurt, kan het waarschuwingsvenster overlappende tekst of gedeeltelijk verborgen knoppen tonen, waardoor het bericht moeilijk te lezen en te bewerken is.
Tijdelijke oplossing
Dit probleem wordt opgelost in KB5087539.
Hoe u deze update kunt downloaden
Voordat u deze update installeert
Microsoft combineert de meest recente onderhoudsstackupdate (SSU) voor uw besturingssysteem met de meest recente cumulatieve update (LCU). Zie Onderhoudsstackupdates voor algemene informatie over SSU's.
Deze update installeren
Gebruik een van de volgende releasekanalen van Windows en Microsoft om deze update te installeren.
| Beschikbaar | Volgende stap | |
|---|---|---|
|
Deze update wordt automatisch gedownload en geïnstalleerd vanuit Windows Update en Microsoft Update. |
Opmerking
- Als u deze update wilt verwijderen
- Let op: Zie De risico's begrijpen: waarom u beveiligingsupdates niet moet verwijderen voordat u besluit deze update te verwijderen.
- Als u de LCU wilt verwijderen na installatie van het gecombineerde SSU- en LCU-pakket, gebruikt u de opdrachtregeloptie DISM/Remove-Package met de naam van het LCU-pakket als argument. U kunt de naam van het pakket vinden met deze opdracht: DISM /online /get-packages.
- Het uitvoeren van Windows Update zelfstandig installatieprogramma (wusa.exe) met de schakeloptie /uninstall op het gecombineerde pakket werkt niet, omdat het gecombineerde pakket de SSU bevat. U kunt de SSU na de installatie niet meer uit het systeem verwijderen.
Bestandsinformatie
Download de bestandsinformatie voor de cumulatieve update 5082063 voor een lijst van bestanden die deel uitmaken van deze update.
Download de bestandsinformatie voor de SSU (KB5082062) versie 26100.32692 voor een lijst van bestanden die deel uitmaken van de onderhoudsstackupdate.