Wygaśnięcie certyfikatu bezpiecznego rozruchu systemu Windows i aktualizacje urzędu certyfikacji
Ważne: Certyfikaty bezpiecznego rozruchu używane przez większość urządzeń z systemem Windows wygasają od czerwca 2026 r. Może to mieć wpływ na możliwość bezpiecznego rozruchu niektórych urządzeń osobistych i biznesowych, jeśli nie zostaną zaktualizowane na czas. Aby uniknąć zakłóceń, zalecamy wcześniejsze zapoznanie się ze wskazówkami i podjęcie działań w celu zaktualizowania certyfikatów.
Aby uzyskać szczegółowe informacje i instrukcje przygotowania dla urządzeń z systemem Windows, zobacz Wygaśnięcie certyfikatu bezpiecznego rozruchu systemu Windows i aktualizacje urzędu certyfikacji
Aby uzyskać szczegółowe informacje i kroki przygotowawcze dla serwerów z systemem Windows, zapoznaj się z następującymi zasobami:
Podsumowanie
Ten artykuł zawiera listę problemów z zabezpieczeniami i ulepszeń dotyczących jakości zawartych w tej zbiorczej aktualizacji zabezpieczeń.
Dotyczy: Windows 10 ESU
Ważne: Użyj KB5015684 EKB, aby zaktualizować do Windows 10, wersja 22H2.
Ta aktualizacja zabezpieczeń zawiera poprawki i ulepszenia jakości, które są częścią następujących aktualizacji:
Poniżej przedstawiono podsumowanie problemów rozwiązanych przez tę aktualizację podczas instalowania tej aktualizacji. Jeśli istnieją nowe funkcje, są również wyświetlane na liście. Pogrubiony tekst w nawiasach oznacza element lub obszar zmiany, które dokumentujemy.
-
[Ostrzeżenia dotyczące zabezpieczeń pulpitu zdalnego (znany problem)] Naprawiono: Okno dialogowe z ostrzeżeniem o zabezpieczeniach usługi Podłączanie pulpitu zdalnego może być renderowane niepoprawnie w konfiguracjach z wieloma monitorami z różnymi ustawieniami skalowania ekranu. Ten problem może wystąpić po zainstalowaniu aktualizacji zabezpieczeń systemu Windows wydanej 14 kwietnia 2026 r. (KB5082200).
-
[Bezpieczny rozruch]
-
Ta aktualizacja umożliwia dynamiczne raportowanie stanu dla stanów bezpiecznego rozruchu w aplikacji Zabezpieczenia Windows.
-
W ramach tej aktualizacji aktualizacje dotyczące jakości systemu Windows zawierają dodatkowe dane kierowania na urządzenia z dużą pewnością siebie, co zwiększa zasięg urządzeń uprawnionych do automatycznego otrzymywania nowych certyfikatów bezpiecznego rozruchu. Urządzenia otrzymują nowe certyfikaty dopiero po wykazaniu wystarczających udanych sygnałów aktualizacji, z zachowaniem kontrolowanego i stopniowego wdrażania.
-
-
[Czas letni] Aktualizacja dla Arabskiej Republiki Egiptu w celu wspierania rządowej kolejności zmian czasu czasowego w 2023 roku.
Jeśli zainstalowano wcześniejsze aktualizacje, tylko nowe aktualizacje zawarte w tym pakiecie zostaną pobrane i zainstalowane na urządzeniu.
Aby uzyskać więcej informacji na temat luk w zabezpieczeniach, zapoznaj się z nową witryną internetową przewodnika aktualizacji zabezpieczeń i Aktualizacje zabezpieczeń z maja 2026 r.
Aby uzyskać informacje na temat terminologii usługi Windows Update, zobacz artykuł o typach aktualizacji systemu Windows i miesięcznych typachaktualizacji dotyczących jakości. Aby zapoznać się z omówieniem Windows 10, wersja 22H2, zobacz stronę historii aktualizacji.
Znane problemy z tą aktualizacją
-
Do wprowadzenia klucza odzyskiwania funkcji BitLocker mogą być wymagane urządzenia z niezrekompensowanymi ustawieniami funkcji BitLocker zasady grupyObjawy
W przypadku niektórych urządzeń, na których zastosowano niezgodną z zaleceniami konfigurację zasad grupy dotyczących funkcji BitLocker, może zaistnieć konieczność wprowadzenia klucza odzyskiwania funkcji BitLocker przy pierwszym ponownym uruchomieniu komputera po zainstalowaniu tej aktualizacji.
Problem ten dotyczy jedynie ograniczonej liczby systemów, w których spełnione są WSZYSTKIE poniższe warunki. Jest mało prawdopodobne, aby warunki te występowały na urządzeniach osobistych, które nie są zarządzane przez działy IT.
-
Funkcja BitLocker jest włączona na dysku systemu operacyjnego.
-
Zasada grupy „Konfiguruj profil sprawdzania poprawności platformy TPM dla natywnych konfiguracji oprogramowania układowego UEFI” jest skonfigurowana, a PCR7 znajduje się w profilu sprawdzania poprawności (lub odpowiedni klucz rejestru został ustawiony ręcznie).
-
Program Informacje o systemie (msinfo32.exe) podaje, że powiązanie stanu bezpiecznego rozruchu z rejestrem PCR7 jest „Niemożliwe”.
-
Certyfikat Windows UEFI CA 2023 znajduje się w bazie danych podpisów funkcji Secure Boot (DB) urządzenia, dzięki czemu urządzenie kwalifikuje się do ustawienia menedżera rozruchu systemu Windows z podpisem 2023 jako domyślnego.
-
Na tym urządzeniu nie jest jeszcze zainstalowany menedżer rozruchu systemu Windows z podpisem z 2023 roku.
W tym scenariuszu klucz odzyskiwania funkcji BitLocker należy wprowadzić tylko raz – kolejne ponowne uruchomienia komputera nie spowodują wyświetlenia ekranu odzyskiwania funkcji BitLocker, o ile konfiguracja zasad grupy pozostanie niezmieniona. Aby uzyskać pomoc w znalezieniu klucza odzyskiwania funkcji BitLocker, zobacz artykuł Znajdowanie klucza odzyskiwania funkcji BitLocker.
Przed zainstalowaniem tej aktualizacji zaleca się, aby przedsiębiorstwa sprawdziły swoje zasady grupy BitLocker pod kątem wyraźnego uwzględnienia PCR7 oraz zweryfikowały w programie msinfo32.exe status powiązania PCR7.
Rozwiązanie
Pracujemy nad rozwiązaniem i przekażemy więcej informacji, gdy będzie ono dostępne.
Aby tymczasowo obejść ten problem, przed zainstalowaniem aktualizacji usuń konfigurację zasad grupy (zalecane)
-
Otwórz Edytor zasad grupy (gpedit.msc) lub Konsolę zarządzania zasadami grupy.
-
Przejdź do: Konfiguracja komputera > Szablony administracyjne > Składniki systemu Windows > Szyfrowanie dysków funkcją BitLocker > Dyski systemu operacyjnego.
-
Ustaw „Konfiguruj profil weryfikacji platformy TPM dla natywnych konfiguracji oprogramowania układowego UEFI” na „Nieskonfigurowane”.
-
Aby wprowadzić zmiany w zasadach, uruchom następujące polecenie na urządzeniach, których to dotyczy: gpupdate /force
-
Uruchom następujące polecenie, aby wyłączyć funkcję BitLocker (jeśli funkcja BitLocker jest włączona na dysku C:): manage-bde -protectors -disable C:
-
Uruchom następujące polecenie, aby wznowić działanie funkcji BitLocker (jeśli funkcja BitLocker jest włączona na dysku C:): manage-bde -protectors -enable C:
-
Spowoduje to aktualizację powiązań funkcji BitLocker tak, aby korzystały z domyślnego profilu PCR wybranego przez system Windows.
-
Dotyczy: Windows 10 Enterprise LTSC 2021 i Windows 10 IoT Enterprise LTSC 2021
Ważne: Użyj KB5003791 EKB, aby przeprowadzić aktualizację do Windows 10 w wersji 21H2 w obsługiwanych wersjach.
Ta aktualizacja zabezpieczeń zawiera poprawki i ulepszenia jakości, które są częścią następujących aktualizacji:
Poniżej przedstawiono podsumowanie problemów rozwiązanych przez tę aktualizację podczas instalowania tej aktualizacji. Jeśli istnieją nowe funkcje, są również wyświetlane na liście. Pogrubiony tekst w nawiasach oznacza element lub obszar zmiany, które dokumentujemy.
-
[Ostrzeżenia dotyczące zabezpieczeń pulpitu zdalnego (znany problem)] Naprawiono: Okno dialogowe z ostrzeżeniem o zabezpieczeniach usługi Podłączanie pulpitu zdalnego może być renderowane niepoprawnie w konfiguracjach z wieloma monitorami z różnymi ustawieniami skalowania ekranu. Ten problem może wystąpić po zainstalowaniu aktualizacji zabezpieczeń systemu Windows wydanej 14 kwietnia 2026 r. (KB5082200).
-
[Bezpieczny rozruch]
-
Ta aktualizacja umożliwia dynamiczne raportowanie stanu dla stanów bezpiecznego rozruchu w aplikacji Zabezpieczenia Windows.
-
W ramach tej aktualizacji aktualizacje dotyczące jakości systemu Windows zawierają dodatkowe dane kierowania na urządzenia z dużą pewnością siebie, co zwiększa zasięg urządzeń uprawnionych do automatycznego otrzymywania nowych certyfikatów bezpiecznego rozruchu. Urządzenia otrzymują nowe certyfikaty dopiero po wykazaniu wystarczających udanych sygnałów aktualizacji, z zachowaniem kontrolowanego i stopniowego wdrażania.
-
-
[Czas letni] Aktualizacja dla Arabskiej Republiki Egiptu w celu wspierania rządowej kolejności zmian czasu czasowego w 2023 roku.
Jeśli zainstalowano wcześniejsze aktualizacje, tylko nowe aktualizacje zawarte w tym pakiecie zostaną pobrane i zainstalowane na urządzeniu.
Aby uzyskać więcej informacji na temat luk w zabezpieczeniach, zapoznaj się z nową witryną internetową przewodnika aktualizacji zabezpieczeń i Aktualizacje zabezpieczeń z maja 2026 r.
Aby uzyskać informacje na temat terminologii usługi Windows Update, zobacz artykuł o typach aktualizacji systemu Windows i miesięcznych typachaktualizacji dotyczących jakości. Aby zapoznać się z omówieniem Windows 10, wersja 22H2, zobacz stronę historii aktualizacji.
Znane problemy z tą aktualizacją
-
Do wprowadzenia klucza odzyskiwania funkcji BitLocker mogą być wymagane urządzenia z niezrekompensowanymi ustawieniami funkcji BitLocker zasady grupyObjawy
W przypadku niektórych urządzeń, na których zastosowano niezgodną z zaleceniami konfigurację zasad grupy dotyczących funkcji BitLocker, może zaistnieć konieczność wprowadzenia klucza odzyskiwania funkcji BitLocker przy pierwszym ponownym uruchomieniu komputera po zainstalowaniu tej aktualizacji.
Problem ten dotyczy jedynie ograniczonej liczby systemów, w których spełnione są WSZYSTKIE poniższe warunki. Jest mało prawdopodobne, aby warunki te występowały na urządzeniach osobistych, które nie są zarządzane przez działy IT.
-
Funkcja BitLocker jest włączona na dysku systemu operacyjnego.
-
Zasada grupy „Konfiguruj profil sprawdzania poprawności platformy TPM dla natywnych konfiguracji oprogramowania układowego UEFI” jest skonfigurowana, a PCR7 znajduje się w profilu sprawdzania poprawności (lub odpowiedni klucz rejestru został ustawiony ręcznie).
-
Program Informacje o systemie (msinfo32.exe) podaje, że powiązanie stanu bezpiecznego rozruchu z rejestrem PCR7 jest „Niemożliwe”.
-
Certyfikat Windows UEFI CA 2023 znajduje się w bazie danych podpisów funkcji Secure Boot (DB) urządzenia, dzięki czemu urządzenie kwalifikuje się do ustawienia menedżera rozruchu systemu Windows z podpisem 2023 jako domyślnego.
-
Na tym urządzeniu nie jest jeszcze zainstalowany menedżer rozruchu systemu Windows z podpisem z 2023 roku.
W tym scenariuszu klucz odzyskiwania funkcji BitLocker należy wprowadzić tylko raz – kolejne ponowne uruchomienia komputera nie spowodują wyświetlenia ekranu odzyskiwania funkcji BitLocker, o ile konfiguracja zasad grupy pozostanie niezmieniona. Aby uzyskać pomoc w znalezieniu klucza odzyskiwania funkcji BitLocker, zobacz artykuł Znajdowanie klucza odzyskiwania funkcji BitLocker.
Przed zainstalowaniem tej aktualizacji zaleca się, aby przedsiębiorstwa sprawdziły swoje zasady grupy BitLocker pod kątem wyraźnego uwzględnienia PCR7 oraz zweryfikowały w programie msinfo32.exe status powiązania PCR7.
Rozwiązanie
Pracujemy nad rozwiązaniem i przekażemy więcej informacji, gdy będzie ono dostępne.
Aby tymczasowo obejść ten problem, przed zainstalowaniem aktualizacji usuń konfigurację zasad grupy (zalecane)
-
Otwórz Edytor zasad grupy (gpedit.msc) lub Konsolę zarządzania zasadami grupy.
-
Przejdź do: Konfiguracja komputera > Szablony administracyjne > Składniki systemu Windows > Szyfrowanie dysków funkcją BitLocker > Dyski systemu operacyjnego.
-
Ustaw „Konfiguruj profil weryfikacji platformy TPM dla natywnych konfiguracji oprogramowania układowego UEFI” na „Nieskonfigurowane”.
-
Aby wprowadzić zmiany w zasadach, uruchom następujące polecenie na urządzeniach, których to dotyczy: gpupdate /force
-
Uruchom następujące polecenie, aby wyłączyć funkcję BitLocker (jeśli funkcja BitLocker jest włączona na dysku C:): manage-bde -protectors -disable C:
-
Uruchom następujące polecenie, aby wznowić działanie funkcji BitLocker (jeśli funkcja BitLocker jest włączona na dysku C:): manage-bde -protectors -enable C:
-
Spowoduje to aktualizację powiązań funkcji BitLocker tak, aby korzystały z domyślnego profilu PCR wybranego przez system Windows.
-
aktualizacja stosu obsługi Windows 10 (KB5084130) — wersja 19041.7183
Firma Microsoft łączy teraz najnowszą aktualizację stosu obsługi (SSU) dla Twojego systemu operacyjnego z najnowszą aktualizacją zbiorczą (LCU). SSU poprawia niezawodność procesu aktualizacji i zawiera poprawki do stosu obsługi, składnika, który instaluje aktualizacje systemu Windows.
Uwaga: Ta aktualizacja stosu obsługi (SSU) zawiera ulepszoną logikę w celu sprawdzenia, czy urządzenie jest hostowane na Azure, wykorzystując zaktualizowany łańcuch certyfikatów do sprawdzania poprawności. Aby upewnić się, że urządzenie może uzyskiwać dostęp do wymaganych domen aktualizacji certyfikatów w celu pomyślnego pobrania i zainstalowania aktualizacji certyfikatów, zobacz Listy pobierania i odwoływania certyfikatów oraz Azure szczegóły urzędu certyfikacji. Aby dowiedzieć się więcej o SSU, zobacz Aktualizacje stosu obsługi.
Jak uzyskać tę aktualizację
Przed zainstalowaniem tej aktualizacji
Ważne Musisz mieć zainstalowaną najnowszą aktualizację stosu obsługi (SSU). Nieinstalowanie najnowszej aktualizacji SSU przed zastosowaniem aktualizacji systemu Windows może spowodować, że aktualizacja systemu Windows nie będzie oferowana do czasu zainstalowania najnowszej aktualizacji SSU.
Wdrażanie
Jeśli wdrożysz tę aktualizację, wybierz jedną z następujących opcji w zależności od scenariusza instalacji:
Obsługa obrazów w trybie offline systemu operacyjnego
-
Jeśli obraz nie zawiera LCU z 25 lipca 2023 r. (KB5028244) lub nowszej, przed zainstalowaniem tej aktualizacji należy zainstalować specjalną autonomiczną aktualizację SSU z 13 października 2023 r. (KB5031539).
W przypadku wdrożenia Windows Server Update Services (WSUS) lub podczas instalowania pakietu autonomicznego z wykazu usługi Microsoft Update
Pobierz i zainstaluj tę aktualizację
Aby uzyskać i zainstalować tę aktualizację, użyj jednego z następujących kanałów udostępniania systemu Windows i firmy Microsoft.
|
Dostępny |
Następny etap |
|
|
Ta aktualizacja zostanie automatycznie pobrana z witryny Windows Update i zainstalowana. |
|
Dostępny |
Następny etap |
|
|
Ta aktualizacja zostanie automatycznie pobrana i zainstalowana z Windows Update dla firm zgodnie ze skonfigurowanymi zasadami. |
|
Dostępny |
Następny etap |
|
|
Aby uzyskać autonomiczny pakiet tej aktualizacji, przejdź do witryny internetowej Wykaz usługi Microsoft Update . Aby uzyskać informacje na temat pobierania i instalowania aktualizacji z wykazu aktualizacji, zobacz Jak pobierać aktualizacje zawierające sterowniki i poprawki z wykazu Windows Update. |
|
Dostępny |
Następny etap |
|
|
Ta aktualizacja zostanie automatycznie zsynchronizowana z usługą Windows Server Update Services (WSUS), jeśli skonfigurujesz produkty i klasyfikacje w następujący sposób:
Aby skonfigurować serwer WSUS do synchronizacji na podstawie produktów i klasyfikacji, zobacz Synchronizowanie aktualizacji według produktu i klasyfikacji. Aby ręcznie zaimportować aktualizacje do programu WSUS, zobacz Importowanie aktualizacji do programu WSUS przy użyciu programu PowerShell. |
Informacje o plikach
Lista plików zawartych w tej aktualizacji jest dostępna w pliku CSV (rozdzielany przecinkami) (*.csv). Plik można otworzyć w edytorze tekstów, takim jak Notatnik lub w programie Microsoft Excel.
Uwaga: Wersja angielska (Stany Zjednoczone) tej aktualizacji oprogramowania może zawierać pliki dla dodatkowych języków.
Informacje pokrewne
Jeśli chcesz usunąć tę aktualizację
OSTROŻNOŚĆ Przed podjęciem decyzji o usunięciu tej aktualizacji zobacz Opis zagrożeń: Dlaczego nie należy odinstalowywać aktualizacji zabezpieczeń.
Aby usunąć LCU po zainstalowaniu połączonego pakietu SSU i LCU, użyj opcji wiersza polecenia DISM/Remove-Package z nazwą pakietu LCU jako argumentem. Nazwę pakietu można znaleźć za pomocą tego polecenia: DISM /online /get-packages.
Uruchomienie Windows Update Instalatora autonomicznego (wusa.exe) z przełącznikiem /uninstall w połączonym pakiecie nie będzie działać, ponieważ połączony pakiet zawiera SSU. Po zainstalowaniu nie można usunąć SSU z systemu.
Uwaga dotycząca aktualizacji aplikacji ze sklepu Microsoft Store
Aktualizacje systemu Windows nie instalują aktualizacji aplikacji ze sklepu Microsoft Store. Jeśli jesteś użytkownikiem przedsiębiorstwa, zobacz Aplikacje ze sklepu Microsoft Store — Configuration Manager. Jeśli jesteś użytkownikiem konsumenckim, zobacz Pobieranie aktualizacji aplikacji i gier w Microsoft Store.
Informacje o zakończeniu świadczenia pomocy technicznej
Koniec wsparcia technicznego dla systemu Windows 10 w wersjach 21H2/22H2 i Windows 10 Enterprise LTSC 2021
Firma Microsoft nie będzie już zapewniać bezpłatnych aktualizacji oprogramowania z usługi Windows Update, pomocy technicznej ani poprawek zabezpieczeń w następujących datach końcowych:
♦ Windows 10, wersja 21H2: Wsparcie techniczne zakończyło się 13 czerwca 2023 r.
♦ Windows 10, wersja 22H2: Wsparcie techniczne zakończyło się 14 października 2025 r.
♦ Windows 10 Enterprise LTSC 2021: 12 stycznia 2027 r.
♦ Windows 10 IoT Enterprise LTSC 2021: 13 stycznia 2032 r.
Uwaga: Aby nadal otrzymywać krytyczne i ważne aktualizacje zabezpieczeń dla Windows 10, zobacz Rozszerzone aktualizacje zabezpieczeń systemu Windows 10 (ESU). W przeciwnym razie zalecamy aktualizację do nowszej wersji systemu Windows.
