9 juni 2026 - KB5094128 (OS-build 20348.5256)

Deze cumulatieve update voor Windows Server 2022 (KB5094128), bevat de nieuwste beveiligingspatches en verbeteringen, samen met niet-beveiligingsupdates van de optionele preview-release van vorige maand. Zie Uitleg over maandelijkse windows-updates voor meer informatie over verschillen tussen beveiligingsupdates, optionele niet-beveiligingsupdates, out-of-band (OOB)-updates en continue innovatie. Zie de verschillende typen Windows-software-updates voor meer informatie over de terminologie van Windows-updates.

Als u de meest recente updates over deze release wilt bekijken, gaat u naar het Windows-releasestatusdashboard of de pagina met de updategeschiedenis voor Windows Server 2022.

Aankondigingen en berichten

Deze sectie bevat belangrijke meldingen met betrekking tot deze release, waaronder aankondigingen, wijzigingslogboeken en kennisgevingen over het einde van de ondersteuning.

Verlopen van Windows Secure Boot-certificaat

Belangrijk: Certificaten voor beveiligd opstarten die door de meeste Windows-apparaten worden gebruikt, verlopen vanaf juni 2026. Microsoft heeft deze certificaten op consumenten- en niet-beheerde zakelijke apparaten de afgelopen maanden bijgewerkt. Apparaten die de nieuwere certificaten niet hebben ontvangen, blijven gewoon starten en werken normaal, en standaard Windows-updates blijven worden geïnstalleerd. Bijgewerkte certificaten worden de komende maanden nog steeds geleverd via Windows Update.

Datum wijzigen	Beschrijving wijzigen
dinsdag 10 juni 2026	Update: Aanpassing van map toegevoegd.

Verbeteringen

Deze beveiligingsupdate bevat correcties en kwaliteitsverbeteringen van KB5087545 (van 12 mei 2026). In de volgende samenvatting vindt u een overzicht van de belangrijkste problemen die door deze update zijn opgelost. Ook zijn er nieuwe functies beschikbaar. De vetgedrukte tekst tussen de haken geeft het item of gebied van de wijziging aan.

[Beveiligd opstarten]
- Met deze update bevatten kwaliteitsupdates van Windows extra gegevens voor apparaten met hoge betrouwbaarheid, waardoor de dekking van apparaten die in aanmerking komen om automatisch nieuwe Secure Boot-certificaten te ontvangen, toeneemt. Apparaten ontvangen de nieuwe certificaten pas na het aantonen van voldoende geslaagde updatesignalen, waarbij een gecontroleerde en gefaseerde implementatie wordt gehandhaafd.
- Met deze update wordt de instelling LimitSecureBootRequiredServiceData groepsbeleid and Mobile Device Management (MDM) toegevoegd onder Computerconfiguratie > Beheersjablonen > Windows-onderdelen > Beveiligd opstarten. Wanneer deze optie is ingeschakeld, beperkt Windows de gegevens van de Secure Boot-service die worden verzonden door de gebeurtenis te onderdrukken die normaal gesproken naar Microsoft wordt verzonden. Dit beleid is opgenomen in de Windows Restricted Traffic Limited Functionality Baseline. Zie Verbindingen beheren van Windows 10 en Windows 11 onderdelen van het besturingssysteem naar Microsoft-services voor meer informatie over het beleid.
[App]Deze update verbetert de zichtbaarheid en betrouwbaarheid van apparaatbeveiliging door realtime statusupdates voor Beveiligd opstarten in te schakelen in de Windows-beveiliging-app.
[Bestandenverkenner] Deze update verbetert Bestandenverkenner zoeken, inclusief ondersteuning voor Chinese tekst en UTF 8-gecodeerde bestanden zonder byte order mark (BOM). Tekst wordt nu duidelijker en consistenter weergegeven in zoekresultaten, inhoudsweergave en knopinfo.
[Teksten en lettertypen]Deze update verbetert Windows-lettertypen door het nieuwe Saudi Riyal-valutasymbool toe te voegen. Deze wijziging helpt tekst helder, nauwkeurig en visueel consistent te houden in uw Windows-apps en -ervaringen.
[Map aanpassen] Deze update introduceert een beveiligingsbeveiligingswijziging in de wijze waarop Windows desktop.ini bestanden verwerkt. Als gevolg hiervan kunnen sommige gebruikers zien dat aangepaste mappictogrammen of gelokaliseerde mapnamen ontbreken voor inhoud van gedownloade of externe locaties. Houd er rekening mee dat de toegang tot mappen niet wordt beïnvloed. Zie Aangepaste mappictogrammen of gelokaliseerde mapnamen worden mogelijk niet weergegeven na de installatie van de Windows-beveiligingsupdate van juni 2026 voor meer informatie.

Als u al eerdere updates hebt geïnstalleerd, downloadt en installeert uw apparaat alleen de nieuwe updates die in dit pakket zijn opgenomen.

Zie de Handleiding voor beveiligingsupdates en de Updates van juni 2026 voor meer informatie over beveiligingsproblemen.

Windows Server 2022 servicing stack update (KB5094147) -20348.5251

Met deze update worden kwaliteitsverbeteringen aangebracht in de onderhoudsstack. Dit is het onderdeel dat Windows-updates installeert. Onderhoudsstackupdates (SSU) zorgen ervoor dat u een robuuste en betrouwbare onderhoudsstack hebt, zodat uw apparaten Microsoft-updates kunnen ontvangen en installeren. Zie De on-premises implementatie van onderhoudsstackupdates vereenvoudigen voor meer informatie over SSU's.

Bekende problemen in deze update

Symptoom

Sommige apparaten met een niet-aanbevolen BitLocker-groepsbeleidsconfiguratie moeten mogelijk hun BitLocker-herstelsleutel invoeren bij de eerste herstart na het installeren van deze update.

Dit probleem is alleen van invloed op een beperkt aantal systemen waarin aan ALLE van de volgende voorwaarden wordt voldaan. Deze voorwaarden zijn waarschijnlijk niet gevonden op persoonlijke apparaten die niet worden beheerd door IT-afdelingen.

BitLocker is ingeschakeld op het besturingssysteemstation.
Het groepsbeleidsinstelling 'Configureer TPM-platformvalidatieprofiel voor native UEFI-firmwareconfiguraties' is geconfigureerd en PCR7 is opgenomen in het validatieprofiel (of de equivalente registersleutel is handmatig ingesteld).
Systeeminformatie (msinfo32.exe) rapporteert secure boot state PCR7 Binding als 'Niet mogelijk'.
Het Windows UEFI CA 2023-certificaat is aanwezig in de Secure Boot Signature Database (DB) van het apparaat, waardoor het apparaat in aanmerking komt voor het met 2023 ondertekende Windows Opstartbeheer als standaardinstelling.
Op het apparaat wordt het met 2023 ondertekende Windows Opstartbeheer nog niet uitgevoerd.

In dit scenario hoeft de BitLocker-herstelsleutel slechts eenmaal te worden ingevoerd. Als je opnieuw opstart, wordt er geen BitLocker-herstelscherm geactiveerd, zolang de configuratie van het groepsbeleid ongewijzigd blijft. Voor hulp bij het vinden van je BitLocker-herstelsleutel, zie het artikel Je BitLocker-herstelcode vinden.

Ondernemingen wordt aangeraden hun BitLocker-groepsbeleid te controleren op expliciete PCR7-opname en msinfo32.exe te controleren op PCR7-bindingsstatus voordat je deze update installeert. (Zie de tijdelijke oplossing hieronder.)

Tijdelijke oplossing

Verwijder de groepsbeleid configuratie voordat u de update installeert (aanbevolen)

Open groepsbeleid-editor (gpedit.msc) of je console Groepsbeleidbeheer.
Navigeer naar: Computerconfiguratie > Beheersjablonen > Windows-onderdelen > BitLocker-stationsversleuteling > besturingssysteemstations.
Stel 'Configureer TPM-platformvalidatieprofiel voor native UEFI-firmwareconfiguraties' in op 'Niet geconfigureerd'.
Voer de volgende opdracht uit op betrokken apparaten om de beleidswijziging door te geven: gpupdate /force
Voer de volgende opdracht uit om BitLocker te onderbreken (waarbij BitLocker is ingeschakeld op station C): manage-bde -protectors -disable C:
Voer de volgende opdracht uit om BitLocker te hervatten (waarbij BitLocker is ingeschakeld op station C): manage-bde -protectors -enable C:
Hiermee worden de BitLocker-bindingen bijgewerkt om het door Windows geselecteerde standaard PCR-profiel te gebruiken.

Een permanente oplossing voor dit probleem is gepland in een toekomstige Windows-update. Meer informatie wordt gegeven wanneer deze beschikbaar is.

Na de installatie van KB5070884 of latere updates geeft Windows Server Update Services (WSUS) geen synchronisatiefoutdetails weer in de foutenrapportage. Deze functionaliteit wordt tijdelijk verwijderd om het beveiligingslek met betrekking tot het uitvoeren van externe code op te lossen, CVE-2025-59287.

Hoe u deze update kunt downloaden

Voordat u deze update installeert

Microsoft combineert nu de meest recente onderhoudsstackupdate (SSU) voor uw besturingssysteem met de meest recente cumulatieve update (LCU). Zie Onderhoudsstackupdates voor algemene informatie over SSU's.

Vereiste voor het onderhoud van installatiekopieën van het offline besturingssysteem:

Zorg ervoor dat uw afbeelding KB5030216 (12-09-2023) of een latere LCU bevat. Zo niet, installeer deze dan op uw offlinemedia voordat u de meest recente update installeert. Met deze LCU wordt de SSU-versie bijgewerkt naar 20348.1960. Dit is de minimale SSU-versie die u moet hebben om fout 0x800f0823 (CBS_E_NEW_SERVICING_STACK_REQUIRED) te voorkomen.

Implementatie

Als u dynamische updates zoals deze update implementeert in een bestaande Windows-installatiekopie, moet u ervoor zorgen dat het bestand boot.stl is opgenomen als onderdeel van het installatiemedium. Als u het bestand niet opneemt, kunnen apparaten mogelijk niet worden gestart vanaf het installatiemedium en kan dit leiden tot foutcode 0xc0430001.

Opmerking: Het bestand boot.stl wordt gebruikt tijdens de validatie van beveiligd opstarten en moet overeenkomen met de Windows-versie en -architectuur van de installatiekopie die u bijwerkt.

Voer een van de volgende handelingen uit om ervoor te zorgen dat het bestand boot.stl wordt opgenomen als onderdeel van het installatiemedium:

Gebruik het WinPE-script bijwerken om een bestaande Windows-installatiekopieën bij te werken. (Aanbevolen)
Kopieer het bestand boot.stl handmatig van de map Windows\Boot\EFI op het apparaat naar de bijbehorende map op uw installatiemedia voordat u de update implementeert.

Zie Windows-installatiemedia bijwerken met dynamische update voor informatie over het toepassen van dynamische updatepakketten op bestaande Windows-installatiekopieën.