14 kwietnia 2026 r. — KB5082063 (kompilacja systemu operacyjnego 26100.32690)

Dotyczy
Windows Server 2025, all editions

Ta zbiorcza aktualizacja dla Windows Server 2025 r. (KB5082063) zawiera najnowsze poprawki zabezpieczeń i ulepszenia wraz z aktualizacjami niezwiązanymi z zabezpieczeniami z opcjonalnej wersji zapoznawczej z zeszłego miesiąca. Aby dowiedzieć się więcej o różnicach między aktualizacjami zabezpieczeń, opcjonalnymi aktualizacjami w wersji zapoznawczej niezwiązanej z zabezpieczeniami, aktualizacjami poza pasmem (OOB) i ciągłymi innowacjami, zobacz comiesięczne aktualizacje systemu Windows w wyjaśnieniu. Aby uzyskać informacje na temat terminologii związanej z aktualizacjami systemu Windows, zobacz różne typy aktualizacji oprogramowania systemu Windows.

Aby wyświetlić najnowsze aktualizacje dotyczące tej wersji, odwiedź pulpit nawigacyjny kondycji wersji systemu Windows lub stronę historii aktualizacji dla systemu Windows Server 2025.

Ogłoszenia i wiadomości

Ta sekcja zawiera najważniejsze powiadomienia związane z tą wersją, w tym ogłoszenia, dzienniki zmian i powiadomienia o zakończeniu wsparcia technicznego.

Wygaśnięcie certyfikatu bezpiecznego rozruchu systemu Windows

Wygaśnięcie certyfikatu bezpiecznego rozruchu systemu Windows i aktualizacje urzędu certyfikacji

Coważne: certyfikaty bezpiecznego rozruchu używane przez większość urządzeń z systemem Windows wygasną w czerwcu 2026 r. Może to mieć wpływ na możliwość bezpiecznego rozruchu niektórych urządzeń osobistych i biznesowych, jeśli nie zostaną zaktualizowane na czas. Aby uniknąć zakłóceń, zalecamy wcześniejsze zapoznanie się ze wskazówkami i podjęcie działań w celu zaktualizowania certyfikatów. Aby uzyskać szczegółowe informacje i instrukcje przygotowania, zobacz Wygaśnięcie certyfikatu bezpiecznego rozruchu systemu Windows i aktualizacje urzędu certyfikacji oraz blog dotyczący podręcznika bezpiecznego systemu Windows Server.

Dziennik zmian
Zmień datę Opis zmiany
9 czerwca 2026 r
  • Zaktualizowano znany problem: Dodano rozwiązanie problemu "Na urządzeniach z niezalecaną konfiguracją zasady grupy funkcji BitLocker może być wymagane wprowadzenie klucza odzyskiwania funkcji BitLocker".
  • Poprawiono ciąg aktualizacji x64 .msu na karcie Wykaz dla KB5082063 (ta aktualizacja)
12 maja 2026 r Znana poprawka problemu: zaktualizowano obejście problemu "Ostrzeżenia związane z pulpitem zdalnym mogą nie być wyświetlane poprawnie".
1 maja 2026 r Dodano ulepszenie: [Lista zablokowanych sterowników podatnych na zagrożenia]
27 kwietnia 2026 r. Aktualizacja znanego problemu: poprawka tytułu dotycząca znanego problemu "Ostrzeżenia związane z pulpitem zdalnym mogą nie być wyświetlane poprawnie".
23 kwietnia. 2026 Dodano znany problem: "Ostrzeżenia związane z pulpitem zdalnym mogą nie być wyświetlane poprawnie".
21 kwietnia 2026 r. Zaktualizowano znany problem: "Urządzenia z niezalecaną konfiguracją zasady grupy funkcji BitLocker mogą być wymagane do wprowadzenia klucza odzyskiwania funkcji BitLocker".
20 kwietnia 2026 r Znany problem "Instalacja tej aktualizacji może zakończyć się niepowodzeniem z powodu błędu 0x800F0983 lub 0x80073712" został edytowany w celu wyjaśnienia.
19 kwietnia 2026 r
  • Dodano rozwiązanie znanego problemu "Kontrolery domeny mogą być wielokrotnie ponownie uruchamiane po zainstalowaniu tej aktualizacji".
  • Dodano znany problem wraz z jego rozwiązaniem: "Instalacja tej aktualizacji może zakończyć się niepowodzeniem z powodu błędu 0x800F0983 lub 0x80073712"
17 kwietnia 2026 r. Znany problem "Kontrolery domeny mogą być wielokrotnie ponownie uruchamiane po zainstalowaniu tej aktualizacji" został zaktualizowany w celu wyjaśnienia.
16 kwietnia 2026 r Dodano znany problem: "Kontrolery domeny mogą być wielokrotnie ponownie uruchamiane po zainstalowaniu tej aktualizacji"
14 kwietnia 2026 r. Dodano znany problem: "Urządzenia z niezalecaną konfiguracją zasady grupy funkcji BitLocker mogą być wymagane do wprowadzenia klucza odzyskiwania funkcji BitLocker"

Ulepszenia

Ta aktualizacja zabezpieczeń zawiera poprawki i ulepszenia jakości z KB5078740 (wydanej 10 marca 2026 r.). Poniższe podsumowanie przedstawia najważniejsze kwestie, których dotyczy ta aktualizacja. Ponadto dostępne są nowe funkcje. Tekst pogrubiony w nawiasach wskazuje element lub obszar zmiany.

  • [Bezpieczny rozruch]

    • Wraz z tą aktualizacją aktualizacje dotyczące jakości systemu Windows zawierają dodatkowe dane o dużej pewności określające przeznaczenie urządzeń, zwiększając zakres urządzeń uprawnionych do automatycznego otrzymywania nowych certyfikatów bezpiecznego rozruchu. Urządzenia otrzymują nowe certyfikaty dopiero po zademonstrowaniu wystarczającej liczby pomyślnych sygnałów aktualizacji, z zachowaniem kontrolowanego i etapowego wdrażania.
    • Ta aktualizacja rozwiązuje problem polegający na tym, że urządzenie może wejść w tryb odzyskiwania funkcji BitLocker po zaktualizowaniu bezpiecznego rozruchu.
  • [Protokół Kerberos] Ta aktualizacja zmienia domyślną wartość DefaultDomainSupportedEncTypes dla operacji Centrum dystrybucji kluczy Kerberos (KDC, Key Distribution Center) tak, aby korzystała z algorytmu AES-SHA1 dla kont, które nie mają jawnie zdefiniowanego atrybutu msds-SupportedEncryptionTypes usługi Active Directory. Aby uzyskać więcej informacji, zobacz Jak zarządzać użyciem Centrum dystrybucji kluczy Kerberos RC4 na potrzeby zmian wystawiania biletów konta usługi związanych z CVE-2026-20833.

  • [Uwierzytelnianie] Ta aktualizacja poprawia sposób, w jaki system Windows używa zasad szyfrowania Kerberos podczas uwierzytelniania. Po zainstalowaniu tej aktualizacji system Windows zgodnie z oczekiwaniami odczytuje skonfigurowane ustawienia zasad, co pomaga zapewnić spójne szyfrowanie w całej domenie.

  • [Bluetooth] Ta aktualizacja usprawnia zarządzanie urządzeniami Bluetooth w obszarze Ustawienia i Szybkie ustawienia, pomagając w spójnym wyświetlaniu podłączonych urządzeń oraz ułatwiając ich dodawanie i zarządzanie.

  • [Grafika] Ta aktualizacja poprawia renderowanie kolorów podczas drukowania z aplikacji klasycznych Win32.

  • [Sieć] Ta aktualizacja poprawia niezawodność, gdy system Windows korzysta z kompresji SMB za pośrednictwem QUIC. Po zainstalowaniu tej aktualizacji żądania kompresji SMB za pośrednictwem funkcji QUIC będą realizowane bardziej spójnie, co zmniejszy prawdopodobieństwo przekroczenia limitu czasu i zapewni płynniejsze i bardziej niezawodne działanie.

  • [PowerShell] Ta aktualizacja poprawia sposób, w jaki polecenie cmdlet Set-GPPrefRegistryValue w programie PowerShell importuje wartości preferencji rejestru. Polecenie cmdlet zachowuje teraz każdą zaimportowaną wartość w całości, łącznie z końcowym znakiem.

  • [Pulpit zdalny] Ta aktualizacja poprawia ochronę przed atakami wyłudzającymi informacje przy użyciu plików pulpitu zdalnego (rdp). Po otwarciu pliku rdp Pulpit zdalny wyświetla wszystkie żądane ustawienia połączenia przed nawiązaniem połączenia, przy czym każde ustawienie jest domyślnie wyłączone. Jednorazowe ostrzeżenie o zabezpieczeniach jest również wyświetlane przy pierwszym otwarciu pliku rdp na urządzeniu. Aby uzyskać więcej informacji, zobacz Opis ostrzeżeń o zabezpieczeniach podczas otwierania plików pulpitu zdalnego (RDP).

  • [Teksty i czcionki] Ta aktualizacja poprawia czcionki systemu Windows, dodając nowy symbol waluty saudyjskiego riala. Ta zmiana pomaga zachować przejrzystość, dokładność i spójność wizualną tekstu we wszystkich aplikacjach i środowiskach systemu Windows.

  • [Lista zablokowanych sterowników podatnych na zagrożenia] Ta aktualizacja wprowadza zmianę wzmacniającą zabezpieczenia, która dodaje znane podatne na zagrożenia sterowniki jądra do listy zablokowanych sterowników podatnych na zagrożenia firmy Microsoft. W aplikacjach kopii zapasowych, które korzystają z zablokowanych sterowników, mogą wystąpić błędy podczas próby zainstalowania obrazów dysków lub zarządzania nimi.
    Te aplikacje polegające na zablokowanych sterownikach mogą wyświetlać komunikaty o błędach, w tym "Tworzenie kopii zapasowej nie powiodło się, ponieważ usługa Microsoft VSS przekroczyła limit czasu podczas tworzenia migawki" lub VSS_E_BAD_STATE. Użytkownicy, których dotyczy problem, powinni zaktualizować aplikację do nowszej wersji, która używa nowszych sterowników zawierających wymagane zabezpieczenia. Aby uzyskać więcej informacji, zobacz Aktualizacje zabezpieczeń systemu Windows z kwietnia 2026 r. wprowadzają zabezpieczenia znanych podatnych na zagrożenia sterowników jądra.

  • [Usługi wdrażania systemu Windows (WDS)] Ta aktualizacja domyślnie wyłącza funkcję "Wdrażanie bez użycia rąk" w składnikach WDS i nie jest już obsługiwana. Aby uzyskać więcej informacji na temat tej zmiany, zobacz Usługi wdrażania systemu Windows (WDS) Hands-Free Wskazówki dotyczące zwiększania bezpieczeństwa wdrażania związane z CVE-2026-0386.

Jeśli poprzednie aktualizacje zostały już zainstalowane, urządzenie pobierze i zainstaluje tylko nowe aktualizacje zawarte w tym pakiecie.

Aby uzyskać więcej informacji na temat luk w zabezpieczeniach, zobacz Przewodnik aktualizacji zabezpieczeń i Aktualizacje zabezpieczeń z kwietnia 2026 r.

Windows Server 2025 r. Aktualizacja stosu obsługi (KB5082062) — 26100.32692

Ta aktualizacja wprowadza ulepszenia jakości do stosu obsługi, który jest składnikiem, który instaluje aktualizacje systemu Windows. Aktualizacje stosu obsługi (SSU) zapewniają niezawodny stos obsługi, dzięki któremu urządzenia mogą odbierać i instalować aktualizacje firmy Microsoft. Aby dowiedzieć się więcej na temat SSU, zobacz Upraszczanie wdrażania lokalnego aktualizacji stosu obsługi.

Znane problemy z tą aktualizacją

Instalacja tej aktualizacji może zakończyć się niepowodzeniem z powodu błędu 0x800F0983 lub 0x80073712

Objaw

W przypadku niewielkiej liczby urządzeń może nie być możliwe zainstalowanie tej aktualizacji z jednym z następujących komunikatów o błędzie:

  • "Błąd instalacji — 0x800F0983"
  • "Brakuje niektórych plików aktualizacji lub występują one problemy. Ponowimy próbę pobrania aktualizacji później. Kod błędu: (0x80073712)"

Rozwiązanie

Ten problem został rozwiązany w aktualizacji poza pasmem KB5091157.

Uwaga

Urządzenia z zainstalowaną poprawką na gorąco Windows Server 2025 r., których dotyczy ten problem, mogą zainstalować KB5091157 aktualizacji poza pasmem, aby uzyskać taką samą ochronę, jak kwietniowa aktualizacja zabezpieczeń (KB5082063). Zainstalowanie KB5091157 wymaga jednak ponownego uruchomienia i wstrzymuje instalowanie poprawek na gorąco. Aktualizacje poprawki na gorąco zostaną wznowione po aktualizacji planu bazowego z lipca 2026 r.

Kontrolery domeny mogą być wielokrotnie uruchamiane ponownie po zainstalowaniu tej aktualizacji

Objaw

Po zainstalowaniu tej aktualizacji i ponownym uruchomieniu kontrolery domeny w środowiskach z wieloma domenami w lesie, które korzystają z zarządzania dostępem uprzywilejowanym (PAM), mogą doświadczać awarii usługi LSASS podczas uruchamiania. W związku z tym kontrolery domeny, których dotyczy problem, mogą wielokrotnie uruchamiać się ponownie, uniemożliwiając działanie usług uwierzytelniania i katalogowych oraz potencjalnie powodując niedostępność domeny.

Rozwiązanie

Ten problem został rozwiązany w aktualizacji poza pasmem KB5091157.

Uwaga

Jeśli urządzenie z systemem Windows Server 2025 jest zarejestrowane w ramach instalowania poprawek na gorąco, należy zamiast tego zainstalować KB5091470 aktualizacji poprawki na gorąco OOB. Ta aktualizacja poprawki na gorąco OOB została wydana za pośrednictwem usługi Windows Update i nie wymaga ponownego uruchomienia urządzenia.

Na urządzeniach z niezalecaną konfiguracją zasady grupy funkcji BitLocker może być wymagane wprowadzenie klucza odzyskiwania funkcji BitLocker

Objaw

W przypadku niektórych urządzeń, na których zastosowano niezgodną z zaleceniami konfigurację zasad grupy dotyczących funkcji BitLocker, może zaistnieć konieczność wprowadzenia klucza odzyskiwania funkcji BitLocker przy pierwszym ponownym uruchomieniu komputera po zainstalowaniu tej aktualizacji.

Ten problem dotyczy tylko ograniczonej liczby systemów, w których spełnione są WSZYSTKIE poniższe warunki. Jest mało prawdopodobne, aby warunki te występowały na urządzeniach osobistych, które nie są zarządzane przez działy IT.

  1. Funkcja BitLocker jest włączona na dysku systemu operacyjnego.
  2. Zasada grupy „Konfiguruj profil sprawdzania poprawności platformy TPM dla natywnych konfiguracji oprogramowania układowego UEFI” jest skonfigurowana, a PCR7 znajduje się w profilu sprawdzania poprawności (lub odpowiedni klucz rejestru został ustawiony ręcznie).
  3. Program Informacje o systemie (msinfo32.exe) podaje, że powiązanie stanu bezpiecznego rozruchu z rejestrem PCR7 jest „Niemożliwe”.
  4. Certyfikat Windows UEFI CA 2023 znajduje się w bazie danych podpisów funkcji Secure Boot (DB) urządzenia, dzięki czemu urządzenie kwalifikuje się do ustawienia menedżera rozruchu systemu Windows z podpisem 2023 jako domyślnego.
  5. Na tym urządzeniu nie jest jeszcze zainstalowany menedżer rozruchu systemu Windows z podpisem z 2023 roku.

W tym scenariuszu klucz odzyskiwania funkcji BitLocker należy wprowadzić tylko raz – kolejne ponowne uruchomienia komputera nie spowodują wyświetlenia ekranu odzyskiwania funkcji BitLocker, o ile konfiguracja zasad grupy pozostanie niezmieniona. Aby uzyskać pomoc w znalezieniu klucza odzyskiwania funkcji BitLocker, zobacz artykuł Znajdowanie klucza odzyskiwania funkcji BitLocker.

Przed zainstalowaniem tej aktualizacji zaleca się, aby przedsiębiorstwa sprawdziły swoje zasady grupy BitLocker pod kątem wyraźnego uwzględnienia PCR7 oraz zweryfikowały w programie msinfo32.exe status powiązania PCR7. (Zobacz poniższe obejście).

Obejście

Ten problem został rozwiązany w KB5094125. Po zainstalowaniu KB5094125 urządzenia z tą niezgodną konfiguracją zasad grupy nie mogą zainstalować Menedżera rozruchu systemu Windows podpisanego w 2023 roku. Jeśli problem dotyczył Twojego urządzenia, identyfikator zdarzenia 1032 pojawi się w dzienniku zdarzeń systemowych podczas instalowania aktualizacji systemu Windows: "Aktualizacja Menedżera rozruchu bezpiecznego rozruchu (2023) nie została zastosowana z powodu znanej niezgodności z bieżącą konfiguracją funkcji BitLocker".

Jeśli otrzymasz zdarzenie o identyfikatorze 1032, firma Microsoft zdecydowanie zaleca usunięcie konfiguracji zasady grupy przed zainstalowaniem aktualizacji, dzięki czemu można zainstalować Menedżera rozruchu systemu Windows podpisanego w 2023 r. i nadal otrzymywać najnowsze zabezpieczenia bezpiecznego rozruchu.

Usuń konfigurację zasady grupy przed zainstalowaniem aktualizacji (zalecane)

  1. Otwórz Edytor zasad grupy (gpedit.msc) lub Konsolę zarządzania zasadami grupy.
  2. Przejdź do: Konfiguracja > komputera Szablony administracyjne Składniki > systemu Windows Szyfrowanie > dysków funkcją BitLocker Dyski > z systemem operacyjnym.
  3. Ustaw „Konfiguruj profil weryfikacji platformy TPM dla natywnych konfiguracji oprogramowania układowego UEFI” na „Nieskonfigurowane”.
  4. Aby wprowadzić zmiany w zasadach, uruchom następujące polecenie na urządzeniach, których to dotyczy: gpupdate /force
  5. Uruchom następujące polecenie, aby wstrzymać funkcję BitLocker (jeśli funkcja BitLocker jest włączona na dysku C:): manage-bde -protectors -disable C:
  6. Uruchom następujące polecenie, aby wznowić działanie funkcji BitLocker (jeśli funkcja BitLocker jest włączona na dysku C:): manage-bde -protectors -enable C:
  7. Spowoduje to zaktualizowanie powiązań funkcji BitLocker w celu używania wybranego przez system Windows domyślnego profilu PCR.

Jeśli nie chcesz usuwać tej konfiguracji zasady grupy, możesz zainstalować nowego Menedżera rozruchu systemu Windows, tymczasowo zawieszając funkcję BitLocker i instalując aktualizację bezpiecznego rozruchu. W tym celu:

  1. Uruchom następujące polecenie, aby wstrzymać funkcję BitLocker (jeśli funkcja BitLocker jest włączona na dysku C:): manage-bde -protectors -disable C:
  2. Uruchom następujące polecenie: Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"
  3. Uruchom ponownie urządzenie.
  4. Po pomyślnym zainstalowaniu nowego Menedżera rozruchu systemu Windows włącz funkcję BitLocker, uruchamiając polecenie: manage-bde -protectors -enable C:
Program Windows Server Update Services (WSUS) nie wyświetla szczegółów błędu

Po zainstalowaniu KB5070881 lub nowszych aktualizacji usługa Windows Server Update Services (WSUS) nie wyświetla szczegółów błędów synchronizacji w ramach raportowania błędów. Ta funkcja została tymczasowo usunięta w celu usunięcia luki umożliwiającej zdalne wykonanie kodu, CVE-2025-59287.

Ostrzeżenia związane z pulpitem zdalnym mogą nie być wyświetlane poprawnie

Objawy

Po zainstalowaniu tej aktualizacji ostrzeżenie o zabezpieczeniach wyświetlane podczas otwierania plików pulpitu zdalnego (RDP) może w niektórych przypadkach nie być wyświetlane poprawnie.

Ten problem może wystąpić w przypadku używania więcej niż jednego monitora z różnymi ustawieniami skalowania ekranu (na przykład jeden wyświetlacz jest ustawiony na 100%, a inny na 125%). W takim przypadku w oknie ostrzeżenia może zostać wyświetlony nakładający się tekst lub częściowo ukryte przyciski, które mogą utrudniać odczytywanie wiadomości lub interakcję z nią.

Obejście

Ten problem został rozwiązany w KB5087539.

Jak uzyskać tę aktualizację

Przed zainstalowaniem tej aktualizacji

Firma Microsoft łączy najnowszą aktualizację stosu obsługi (SSU) dla Twojego systemu operacyjnego z najnowszą aktualizacją zbiorczą (LCU). Aby uzyskać ogólne informacje o SSU, zobacz Aktualizacja stosu obsługi.

Zainstaluj tę aktualizację

Aby zainstalować tę aktualizację, skorzystaj z jednego z następujących kanałów udostępniania systemu Windows i firmy Microsoft.


Dostępne Następny krok
Dostępne Ta aktualizacja jest automatycznie pobierana i instalowana z usług Windows Update i Microsoft Update.

Uwaga

Informacje o plikach

Aby poznać listę plików zawartych w tej aktualizacji, pobierz informacje o plikach dla aktualizacji zbiorczej 5082063.

Aby poznać listę plików zawartych w aktualizacji stosu obsługi, pobierz informacje o plikach dla SSU (KB5082062) — wersja 26100.32692.