19 de abril de 2026 — KB5091157 (Compilação 26100.32698 do SO) Fora de banda
Aplica-se A
Data de Lançamento:
19/04/2026
Versão:
Compilação 26100.32698 do SO
Esta atualização fora de banda (OOB) para Windows Server 2025 (KB5091157) é uma atualização cumulativa não relacionada com segurança.
Melhorias
Esta atualização fora de banda contém melhoramentos de qualidade do KB5082063 (lançado a 14 de abril de 2026). O resumo seguinte descreve os principais problemas abordados por esta atualização fora de banda. O texto a negrito entre parênteses retos indica o item ou a área da alteração.
-
[Active Directory] Corrigido: após instalar a atualização de segurança e o reinício do Windows de abril de 2026, os controladores de domínio (DCs) com florestas de vários domínios que utilizam o Privileged Access Management (PAM) poderão ter problemas de arranque. Em alguns casos, o Serviço de Subsistema de Autoridade de Segurança Local (LSASS) pode deixar de responder, levando a reinícios repetidos e impedindo a autenticação e os serviços de diretório, o que pode tornar o domínio indisponível.
-
[Instalação do Windows Update] Corrigido: um pequeno número de dispositivos Windows Server 2025 poderá não conseguir instalar a atualização de segurança do Windows (KB5082063) de 14 de abril de 2026. Quando este problema ocorre, os dispositivos afetados podem apresentar uma das seguintes mensagens de erro: "Erro de instalação: 0x800F0983" ou "Alguns ficheiros de atualização estão em falta ou têm problemas. Tentaremos transferir a atualização novamente mais tarde. Código de erro: 0x80073712".
Se instalou atualizações anteriores, o seu dispositivo transfere e instala apenas as novas atualizações contidas neste pacote.
Atualização da pilha de manutenção do Windows Sever 2025 (KB5082062) -26100.32692
Esta atualização disponibiliza melhoramentos de qualidade para a pilha de manutenção, que é o componente que instala as atualizações do Windows. As atualizações da pilha de manutenção (SSU) garantem que tem uma pilha de manutenção robusta e fiável para que os seus dispositivos possam receber e instalar atualizações da Microsoft. Para saber mais sobre as SSUs, veja Simplificar a implementação no local de atualizações de pilhas de manutenção.
Problemas conhecidos nesta atualização
Sintoma
Poderá ser necessário introduzir a respetiva chave de recuperação BitLocker em alguns dispositivos com uma configuração da Política de Grupo do BitLocker não recomendada no primeiro reinício após instalar esta atualização.
Este problema afeta apenas um número limitado de sistemas nos quais todas as seguintes condições são verdadeiras. É pouco provável que estas condições sejam encontradas em dispositivos pessoais não geridos por departamentos de TI.
-
O BitLocker está ativado na unidade do SO.
-
A Política de Grupo "Configurar o perfil de validação da plataforma TPM para configurações de firmware UEFI nativas" está configurada e PCR7 está incluído no perfil de validação (ou a chave do registo equivalente está definida manualmente).
-
As Informações do Sistema (msinfo32.exe) apresentam o Vínculo PCR7 do Estado de Arranque Seguro como "Não é possível".
-
O certificado da AC UEFI do Windows 2023 está presente na Base de Dados de Assinaturas de Arranque Seguro (DB) do dispositivo, o que torna o dispositivo elegível para que o Gestor de Arranque do Windows assinado em 2023 seja definido como predefinição.
-
O dispositivo ainda não está a executar o Gestor de Arranque do Windows assinado em 2023.
Neste cenário, a chave de recuperação BitLocker só precisa de ser introduzida uma vez: os reinícios subsequentes não acionarão um ecrã de recuperação BitLocker, desde que a configuração da política de grupo permaneça inalterada. Para obter ajuda para localizar a chave de recuperação BitLocker, consulte o artigo Localizar a chave de recuperação BitLocker.
Recomenda-se que as empresas auditem as suas políticas de grupo do BitLocker para inclusão explícita do PCR7 e verifiquem o msinfo32.exe para saber sobre o estado de vínculo de PCR7 antes de instalar esta atualização. (Consulte a Opção 1 abaixo.)
Solução
Este problema é resolvido no KB5094125. Depois de instalar KB5094125, os dispositivos com esta configuração de política de grupo incompatível são impedidos de instalar o Gestor de Arranque do Windows assinado em 2023. Se o seu dispositivo tiver sido afetado, o ID do Evento 1032 será apresentado no registo de eventos do Sistema ao instalar as atualizações do Windows: "O Gestor de Arranque de Atualização de Arranque Seguro (2023) não foi aplicado devido a uma incompatibilidade conhecida com a configuração atual do BitLocker."
Se receber o ID do Evento 1032, a Microsoft recomenda vivamente que remova a configuração do Política de Grupo antes de instalar as atualizações para que possa instalar o Gestor de Arranque do Windows assinado em 2023 e continuar a receber as proteções de Arranque Seguro mais recentes.
Remover a configuração do Política de Grupo antes de instalar a atualização (Recomendado)
-
Abra o Editor de Política de Grupo (gpedit.msc) ou a Consola de Gestão da Política de Grupo.
-
Navegue para: Configuração do Computador > Modelos Administrativos > Componentes do Windows > Encriptação de Unidade BitLocker > Unidades do Sistema Operativo.
-
Defina "Configurar o perfil de validação da plataforma TPM para configurações nativas de firmware UEFI" como "Não Configurado".
-
Execute o seguinte comando nos dispositivos afetados para propagar a alteração da política: gpupdate /force
-
Execute o seguinte comando para suspender o BitLocker (se o BitLocker estiver ativado na unidade C:): manage-bde -protectors -disable C:
-
Execute o seguinte comando para retomar o BitLocker (se o BitLocker estiver ativado na unidade C: ): manage-bde -protectors -enable C:
-
Esta ação atualiza os enlaces bitLocker para utilizar o perfil PCR predefinido selecionado pelo Windows.
Se não quiser remover esta configuração Política de Grupo, pode instalar o novo Gestor de Arranque do Windows ao suspender temporariamente o BitLocker e instalar a atualização de Arranque Seguro. Para fazê-lo:
-
Execute o seguinte comando para suspender o BitLocker (se o BitLocker estiver ativado na unidade C:): manage-bde -protectors -disable C:
-
Execute o seguinte comando: Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"
-
Reinicie o dispositivo.
-
Assim que o novo Gestor de Arranque do Windows for instalado com êxito, ative o BitLocker ao executar o comando: manage-bde -protectors -enable C:
Após instalar a atualização KB5070881, ou atualizações posteriores, o Windows Server Update Services (WSUS) deixará de apresentar os detalhes dos erros de sincronização nos respetivos relatórios de erros. Esta funcionalidade foi temporariamente removida para resolver a Vulnerabilidade de Execução Remota de Código, CVE-2025-59287.
Sintomas
Depois de instalar esta atualização, o aviso de segurança que aparece ao abrir ficheiros de Ambiente de Trabalho Remoto (RDP) poderá não ser apresentado corretamente em alguns casos.
Este problema pode ocorrer quando utiliza mais do que um monitor com definições de dimensionamento de visualização diferentes (por exemplo, um ecrã definido como 100% e outro definido como 125%). Quando isto acontece, a janela de aviso pode mostrar texto sobreposto ou botões parcialmente ocultos, o que pode dificultar a leitura ou interação da mensagem.
Solução
Este problema é resolvido noKB5087539.
Como obter esta atualização
Antes de instalar esta atualização
A Microsoft combina agora a atualização da pilha de manutenção (SSU) mais recente para o seu sistema operativo com a atualização cumulativa mais recente (LCU). Para obter informações gerais sobre as SSUs, veja Atualizações da pilha de manutenção.
Instalar esta atualização
Para instalar esta atualização, utilize um dos seguintes canais de lançamento do Windows e da Microsoft.
|
Disponível |
Passo Seguinte |
|
|
Veja as outras opções. |
|
Disponível |
Passo Seguinte |
|
|
Veja as outras opções. |
|
Disponível |
Passo Seguinte |
|||||
|
|
Para instalar esta versão a partir do Catálogo Microsoft Update, siga estas instruções: Antes de instalar esta atualização, os pacotes autónomos para esta atualização, aceda ao site catálogo Microsoft Update. Esta BDC contém um ou mais ficheiros MSU que necessitam de instalação por uma ordem específica. Pode instalar esta atualização com o Método 1 (instalar todos os ficheiros MSU em conjunto) ou o Método 2 (instale cada ficheiro MSU individualmente, por ordem). Método 1: Instalar todos os ficheiros MSU em conjunto Transfira todos os ficheiros MSU para KB5091157 a partir do Catálogo Microsoft Update e coloque-os na mesma pasta (por exemplo, C:/Packages). Utilize o Deployment Image Servicing and Management (DISM.exe) para instalar a atualização de destino. O DISM utilizará a pasta especificada no PackagePath para detetar e instalar um ou mais ficheiros MSU de pré-requisitos, conforme necessário. Atualizar o PC Windows Para aplicar esta atualização a um PC Windows em execução, execute o seguinte comando a partir de uma Linha de Comandos elevada:
Em alternativa, execute o seguinte comando a partir de uma linha de Windows PowerShell elevada:
Em alternativa, utilize Windows Update Instalador Autónomo para instalar a atualização de destino. Atualizar o suporte de dados de Instalação do Windows Para aplicar esta atualização ao suporte de dados de Instalação do Windows, consulte Atualizar o suporte de dados de instalação do Windows com a Atualização Dinâmica. Nota: Ao transferir outros pacotes de Atualização Dinâmica, certifique-se de que correspondem ao mesmo mês que este KB. Se a Atualização Dinâmica do SafeOS ou a Atualização Dinâmica de Configuração não estiverem disponíveis para o mesmo mês que este KB, utilize a versão publicada mais recentemente de cada uma. Para adicionar esta atualização a uma imagem montada, execute o seguinte comando a partir de uma Linha de Comandos elevada:
Em alternativa, execute o seguinte comando a partir de uma linha de Windows PowerShell elevada:
Método 2: Instalar cada ficheiro MSU individualmente, por ordem Transfira e instale cada ficheiro MSU individualmente com DISM ou Windows Update Instalador Autónomo pela seguinte ordem:
|
|
Disponível |
Passo Seguinte |
|
|
Veja as outras opções. |
Se quiser remover esta atualização
Atenção: antes de decidir remover esta atualização, consulte Compreender os riscos: Por que motivo não deve desinstalar atualizações de segurança.
Para remover esta atualização após instalar o pacote combinado de SSU e LCU, utilize a opção de linha de comandos DISM/Remove-Package com o nome do pacote LCU como argumento. Pode encontrar o nome do pacote com este comando: DISM /online /get-packages.
Executar Windows Update Instalador Autónomo (wusa.exe) com o comutador /uninstall no pacote combinado não funcionará porque o pacote combinado contém a SSU. Não é possível remover a SSU do sistema após a instalação.
Informações de ficheiro
Para obter uma lista dos ficheiros incluídos nesta atualização, transfira as informações de ficheiro para a atualização cumulativa 5091157.
Para obter uma lista dos ficheiros incluídos na atualização da pilha de manutenção, transfira as informações de ficheiro para a SSU (KB5082062) – versão 26100.32692.
Registo de alterações
|
Alterar data |
Alterar descrição |
|
4 de junho de 2026 |
Correção da cadeia de atualização .msu x64 no separador Catálogo para KB5091157 (esta atualização) |
|
27 de abril de 2026 |
Foi corrigido o problema conhecido "Os avisos relacionados com o Ambiente de Trabalho Remoto podem não ser apresentados corretamente" |
Precisa de mais ajuda?
Quer mais opções?
Explore os benefícios da subscrição, navegue em cursos de formação, saiba como proteger o seu dispositivo e muito mais.
As comunidades ajudam-no a colocar e a responder perguntas, a dar feedback e a ouvir especialistas com conhecimentos abrangentes.
