Ta aktualizacja zbiorcza dla Windows Server 2025 (KB5082063) zawiera najnowsze poprawki zabezpieczeń i ulepszenia oraz aktualizacje niezwiązane z zabezpieczeniami z opcjonalnej wersji zapoznawczej z zeszłego miesiąca. Aby dowiedzieć się więcej o różnicach między aktualizacjami zabezpieczeń, opcjonalnymi aktualizacjami w wersji zapoznawczej niezwiązanych z zabezpieczeniami, aktualizacjami poza zakresem (OOB) i ciągłymi innowacjami, zobacz Comiesięczne aktualizacje systemu Windows — wyjaśniono. Aby uzyskać informacje na temat terminologii usługi Windows Update, zobacz różne typy aktualizacji oprogramowania Systemu Windows.
Aby wyświetlić najnowsze aktualizacje dotyczące tej wersji, odwiedź pulpit nawigacyjny kondycji wersji systemu Windows lub stronę historii aktualizacji dla Windows Server 2025 r.
Ogłoszenia i wiadomości
Ta sekcja zawiera najważniejsze powiadomienia dotyczące tej wersji, w tym ogłoszenia, dzienniki zmian i powiadomienia o zakończeniu pomocy technicznej.
Wygaśnięcie certyfikatu bezpiecznego rozruchu systemu Windows i aktualizacje urzędu certyfikacji
Important: Certyfikaty bezpiecznego rozruchu używane przez większość urządzeń z systemem Windows wygasają od czerwca 2026 r. Może to mieć wpływ na możliwość bezpiecznego rozruchu niektórych urządzeń osobistych i biznesowych, jeśli nie zostaną zaktualizowane na czas. Aby uniknąć zakłóceń, zalecamy wcześniejsze zapoznanie się ze wskazówkami i podjęcie działań w celu zaktualizowania certyfikatów. Aby uzyskać szczegółowe informacje na temat kroków przygotowawczych, zobacz Wygasanie certyfikatu bezpiecznego rozruchu systemu Windows i aktualizacje urzędu certyfikacji oraz blog dotyczący Windows Server bezpiecznego skoroszytu.
|
Zmień datę |
Zmień opis |
|
14 kwietnia 2026 r. |
Dodano znany problem: "Do wprowadzenia klucza odzyskiwania funkcji BitLocker mogą być wymagane urządzenia z niezrekompensowanym zasady grupy konfiguracji funkcji BitLocker" |
Ulepszenia
Ta aktualizacja zabezpieczeń zawiera poprawki i ulepszenia dotyczące jakości zKB5078740 (wydanej 10 marca 2026 r.). W poniższym podsumowaniu przedstawiono kluczowe problemy rozwiązane w tej aktualizacji. Dostępne są również nowe funkcje. Pogrubiony tekst w nawiasach oznacza element lub obszar zmiany.
-
[Bezpieczny rozruch]
-
W ramach tej aktualizacji aktualizacje dotyczące jakości systemu Windows zawierają dodatkowe dane kierowania na urządzenia z dużą pewnością siebie, co zwiększa zasięg urządzeń uprawnionych do automatycznego otrzymywania nowych certyfikatów bezpiecznego rozruchu. Urządzenia otrzymują nowe certyfikaty dopiero po wykazaniu wystarczających udanych sygnałów aktualizacji, z zachowaniem kontrolowanego i stopniowego wdrażania.
-
Ta aktualizacja rozwiązuje problem polegający na tym, że urządzenie może wejść do odzyskiwania funkcji BitLocker po aktualizacji bezpiecznego rozruchu.
-
-
[Protokół Kerberos] Ta aktualizacja zmienia domyślną wartość DefaultDomainSupportedEncTypes dla operacji Centrum dystrybucji kluczy Kerberos w celu wykorzystania AES-SHA1 dla kont, dla których nie zdefiniowano jawnego atrybutu Msds-SupportedEncryptionTypes usługi Active Directory. Aby uzyskać więcej informacji, zobacz Jak zarządzać użyciem usługi łączności danych KDC protokołu Kerberos z RC4 w przypadku zmian dotyczących wystawiania biletów na konto usługi związanych z CVE-2026-20833.
-
[Uwierzytelnianie] Ta aktualizacja poprawia sposób, w jaki system Windows używa zasad szyfrowania Kerberos podczas uwierzytelniania. Po zainstalowaniu tej aktualizacji system Windows odczytuje skonfigurowane ustawienia zasad zgodnie z oczekiwaniami, co pomaga zapewnić spójne stosowanie szyfrowania w całej domenie.
-
[Bluetooth] Ta aktualizacja usprawnia zarządzanie urządzeniami Bluetooth w ustawieniach i szybkich ustawieniach, pomagając w spójnym wyświetlaniu połączonych urządzeń i ułatwiając dodawanie urządzeń i zarządzanie nimi.
-
[Grafika] Ta aktualizacja poprawia renderowanie kolorów podczas drukowania z aplikacji klasycznych Win32.
-
[Sieć] Ta aktualizacja zwiększa niezawodność, gdy system Windows używa kompresji SMB w stosunku do quic. Po zainstalowaniu tej aktualizacji żądania kompresji SMB za pośrednictwem funkcji QUIC są wypełniane spójniej, co zmniejsza prawdopodobieństwo przekroczenia limitu czasu i zapewnia płynniejszą i bardziej niezawodną wydajność.
-
[PowerShell] Ta aktualizacja poprawia sposób importowania wartości preferencji rejestru przez polecenie cmdlet Set-GPPrefRegistryValue w programie PowerShell. Polecenie cmdlet zachowuje teraz wszystkie zaimportowane wartości w całości, łącznie z ostatnim znakiem.
-
[Pulpit zdalny] Ta aktualizacja zwiększa ochronę przed atakami wyłudzania informacji, które używają plików pulpitu zdalnego (rdp). Po otwarciu pliku rdp pulpit zdalny wyświetla wszystkie wymagane ustawienia połączenia przed nawiązaniem połączenia, przy czym każde ustawienie jest domyślnie wyłączone. Jednorazowe ostrzeżenie o zabezpieczeniach pojawia się również po pierwszym otwarciu pliku rdp na urządzeniu. Aby uzyskać więcej informacji, zobacz Opis ostrzeżeń dotyczących zabezpieczeń podczas otwierania plików pulpitu zdalnego (RDP).
-
[Teksty i czcionki] Ta aktualizacja poprawia czcionki systemu Windows, dodając nowy symbol saudyjskiej waluty riyal. Dzięki tej zmianie tekst jest przejrzysty, dokładny i spójny wizualnie we wszystkich aplikacjach i środowiskach systemu Windows.
-
[Windows Deployment Services (WDS)] Ta aktualizacja domyślnie wyłącza funkcję "Wdrażanie głośnomówiące" w systemie WDS i nie jest już obsługiwana. Aby uzyskać więcej informacji na temat tej zmiany, zobacz Usługi wdrażania systemu Windows (WDS) Hands-Free Wskazówki dotyczące zaostrzania wdrażania związane z CVE-2026-0386.
Jeśli masz już zainstalowane poprzednie aktualizacje, urządzenie pobierze i zainstaluje tylko nowe aktualizacje zawarte w tym pakiecie.
Aby uzyskać więcej informacji o lukach zabezpieczeń, zobacz Przewodnik aktualizacji zabezpieczeń i Aktualizacje zabezpieczeń z kwietnia 2026 r.
aktualizacja stosu obsługi Windows Server 2025 (KB5082062) — 26100.32692
Ta aktualizacja wprowadza ulepszenia jakości do stosu obsługi, który jest składnikiem, który instaluje aktualizacje systemu Windows. Aktualizacje stosu obsługi (SSU) zapewniają niezawodny stos obsługi, dzięki czemu urządzenia mogą odbierać i instalować aktualizacje firmy Microsoft. Aby dowiedzieć się więcej o SSU, zobacz Uproszczenie wdrożenia lokalnego aktualizacji stosu obsługi.
Znane problemy z tą aktualizacją
Objaw
Niektóre urządzenia z niezrekompensowanymi ustawieniami funkcji BitLocker zasady grupy mogą być wymagane do wprowadzenia klucza odzyskiwania funkcji BitLocker podczas pierwszego ponownego uruchomienia po zainstalowaniu tej aktualizacji.
Ten problem dotyczy tylko ograniczonej liczby systemów, w których wszystkie poniższe warunki są spełnione. Te warunki prawdopodobnie nie zostaną znalezione na urządzeniach osobistych, które nie są zarządzane przez działy IT.
-
Funkcja BitLocker jest włączona na dysku systemu operacyjnego.
-
Skonfigurowano zasady grupy "Konfigurowanie profilu sprawdzania poprawności platformy modułu TPM dla natywnych konfiguracji oprogramowania układowego UEFI", a do profilu sprawdzania poprawności jest dołączona funkcja PCR7 (lub równoważny klucz rejestru jest ustawiany ręcznie).
-
System Information (msinfo32.exe) zgłasza stan bezpiecznego rozruchu PCR7 Binding jako "Niemożliwe".
-
Certyfikat Windows UEFI CA 2023 jest obecny w bazie danych podpisu bezpiecznego rozruchu (DB) urządzenia, dzięki czemu urządzenie kwalifikuje się do ustawienia domyślnego Menedżera rozruchu systemu Windows z podpisem w wersji 2023.
-
Na urządzeniu nie jest jeszcze uruchomiony Menedżer rozruchu systemu Windows z podpisem 2023.
W tym scenariuszu klucz odzyskiwania funkcji BitLocker należy wprowadzić tylko raz — kolejne ponownego uruchomienia nie spowoduje wyzwolenia ekranu odzyskiwania funkcji BitLocker, o ile konfiguracja zasad grupy pozostanie niezmieniona. Aby uzyskać pomoc w znalezieniu klucza odzyskiwania funkcji BitLocker, zobacz artykuł Znajdowanie klucza odzyskiwania funkcji BitLocker.
Przed zainstalowaniem tej aktualizacji zaleca się, aby przedsiębiorstwa przeprowadzały inspekcję zasad grupy funkcji BitLocker pod kątem jawnego włączenia funkcji PCR7 i sprawdzały, msinfo32.exe ich stan powiązania z funkcją PCR7. (Zobacz opcję 1 poniżej).
Obejście
Opcja 1: Usuń konfigurację zasady grupy przed zainstalowaniem aktualizacji (zalecane)
-
Otwórz zasady grupy Editor (gpedit.msc) lub konsolę zarządzania zasady grupy.
-
Przejdź do: Konfiguracja komputera > szablony administracyjne > składników systemu Windows > szyfrowania dysków funkcją BitLocker > dysków systemu operacyjnego.
-
Skonfiguruj profil sprawdzania poprawności platformy modułu TPM dla natywnych konfiguracji oprogramowania układowego UEFI na wartość "Nieskonfigurowane".
-
Uruchom następujące polecenie na urządzeniach, których dotyczy problem, aby propagować zmianę zasad: gpupdate /force
-
Uruchom następujące polecenie, aby zawiesić funkcję BitLocker (gdzie funkcja BitLocker jest włączona na dysku C:): manage-bde -protectors -disable C:
-
Uruchom następujące polecenie, aby wznowić działanie funkcji BitLocker (gdzie funkcja BitLocker jest włączona na dysku C:): manage-bde -protectors -enable C:
-
Spowoduje to zaktualizowanie powiązań funkcji BitLocker w celu używania domyślnego profilu PCR wybranego przez system Windows.
Opcja 2: Zastosuj wycofanie znanego problemu (KIR) przed zainstalowaniem aktualizacji
Funkcja wycofywania znanych problemów (KIR) jest dostępna dla klientów, którzy nie mogą usunąć zasad grupy PCR7 przed wdrożeniem tej aktualizacji. Kir zapobiega automatycznemu przełączaniu do Menedżera rozruchu 2023, unikając wyzwalacza odzyskiwania funkcji BitLocker. Kir należy wdrożyć przed zainstalowaniem aktualizacji na urządzeniach, których dotyczy problem. Skontaktuj się z pomocą techniczną firmy Microsoft dla firm , aby uzyskać ten KIR.
Następne kroki
Trwałe rozwiązanie tego problemu jest planowane w przyszłej aktualizacji systemu Windows. Więcej informacji zostanie podanych, gdy będą dostępne.
Po zainstalowaniu KB5070881 lub nowszych aktualizacji usługa Windows Server Update Services (WSUS) nie wyświetla szczegółów błędów synchronizacji w ramach raportowania błędów. Ta funkcja została tymczasowo usunięta w celu usunięcia luki umożliwiającej zdalne wykonanie kodu, CVE-2025-59287.
Jak uzyskać tę aktualizację
Przed zainstalowaniem tej aktualizacji
Firma Microsoft łączy najnowszą aktualizację stosu obsługi (SSU) dla Twojego systemu operacyjnego z najnowszą aktualizacją zbiorczą (LCU). Aby uzyskać ogólne informacje na temat SSU, zobacz Aktualizacje stosu obsługi.
Zainstaluj tę aktualizację
Aby zainstalować tę aktualizację, użyj jednego z następujących kanałów udostępniania systemu Windows i firmy Microsoft.
|
Dostępny |
Następny etap |
|
|
|
Ta aktualizacja jest automatycznie pobierana i instalowana z usług Windows Update i Microsoft Update. |
|
Dostępny |
Następny etap |
|
|
Ta aktualizacja jest automatycznie pobierana i instalowana z Windows Update dla firm zgodnie ze skonfigurowanymi zasadami. |
|
Dostępny |
Następny etap |
|||||
|
|
Aby zainstalować tę wersję z wykazu usługi Microsoft Update, wykonaj następujące instrukcje:Przed zainstalowaniem tej aktualizacji pakiety autonomiczne tej aktualizacji są dostępne w witrynie internetowej wykazu usługi Microsoft Update . Ta baza wiedzy zawiera jeden lub więcej plików MSU wymagających instalacji w określonej kolejności. Tę aktualizację można zainstalować przy użyciu metody 1 (zainstaluj razem wszystkie pliki MSU) lub metody 2 (zainstaluj każdy plik MSU pojedynczo, w kolejności). Metoda 1. Instalowanie wszystkich plików MSU razem Pobierz wszystkie pliki MSU dla KB5082063 z wykazu usługi Microsoft Update i umieść je w tym samym folderze (na przykład C:/Packages). Użyj narzędzia Deployment Image Servicing and Management (DISM.exe), aby zainstalować aktualizację docelową. Narzędzie DISM użyje folderu określonego w programie PackagePath do odnajdowania i instalowania co najmniej jednego wymaganego pliku MSU zgodnie z potrzebami. Aktualizowanie komputera z systemem Windows Aby zastosować tę aktualizację do uruchomionego komputera z systemem Windows, uruchom następujące polecenie z wiersza polecenia z podwyższonym poziomem uprawnień:
Ewentualnie uruchom następujące polecenie z wiersza Windows PowerShell z podwyższonym poziomem uprawnień:
Możesz też zainstalować aktualizację docelową za pomocą Windows Update Instalatora autonomicznego. Aktualizowanie nośnika instalacyjnego systemu Windows Aby zastosować tę aktualizację do nośnika instalacyjnego systemu Windows, zobacz Aktualizowanie nośnika instalacyjnego systemu Windows za pomocą aktualizacji dynamicznej. Uwaga: Podczas pobierania innych pakietów aktualizacji dynamicznych upewnij się, że są one zgodne z tym samym miesiącem co ta aktualizacja. Jeśli aktualizacja dynamiczna safeOS lub aktualizacja dynamiczna konfiguracji nie są dostępne w tym samym miesiącu co ta aktualizacja kb, użyj najnowszej opublikowanej wersji każdego z nich. Aby dodać tę aktualizację do zainstalowanego obrazu, uruchom następujące polecenie z wiersza polecenia z podwyższonym poziomem uprawnień:
Ewentualnie uruchom następujące polecenie z wiersza Windows PowerShell z podwyższonym poziomem uprawnień:
Metoda 2. Instalowanie poszczególnych plików MSU w podanej kolejności Pobierz i zainstaluj każdy plik MSU pojedynczo za pomocą dism lub Windows Update instalatora autonomicznego w następującej kolejności:
|
|
Dostępny |
Następny etap |
|
|
Ta aktualizacja zostanie automatycznie zsynchronizowana z usługą Windows Server Update Services (WSUS), jeśli skonfigurujesz produkty i klasyfikacje w następujący sposób: Produkt: System operacyjny Microsoft Server 24H2 Klasyfikacja: Aktualizacje zabezpieczeń |
Jeśli chcesz usunąć tę aktualizację
Ostrożność: Przed podjęciem decyzji o usunięciu tej aktualizacji zobacz Opis zagrożeń: Dlaczego nie należy odinstalowywać aktualizacji zabezpieczeń.
Aby usunąć LCU po zainstalowaniu połączonego pakietu SSU i LCU, użyj opcji wiersza polecenia DISM/Remove-Package z nazwą pakietu LCU jako argumentem. Nazwę pakietu można znaleźć za pomocą tego polecenia: DISM /online /get-packages.
Uruchomienie Windows Update Instalatora autonomicznego (wusa.exe) z przełącznikiem /uninstall w połączonym pakiecie nie będzie działać, ponieważ połączony pakiet zawiera SSU. Po zainstalowaniu nie można usunąć SSU z systemu.
Informacje o plikach
Aby poznać listę plików zawartych w tej aktualizacji, pobierz informacje o plikach dla aktualizacji zbiorczej 5082063.
Aby poznać listę plików zawartych w aktualizacji stosu obsługi, pobierz informacje o plikach dla SSU (KB5082062) — wersja 26100.32692.
