Această actualizare cumulativă pentru Windows Server 2025 (KB5087539 ), include cele mai recente remedieri de securitate și îmbunătățiri, împreună cu actualizări nelegate de securitate de la versiunea preliminară opțională de luna trecută. Pentru a afla mai multe despre diferențele dintre actualizările de securitate, actualizările opționale de previzualizare nelegate de securitate, actualizările OOB (out-of-band) și inovațiile continue, consultați Actualizările lunare Windows explicate. Pentru informații despre terminologia Windows Update, consultați diferitele tipuri de actualizări de software Windows.
Pentru a vedea cele mai recente actualizări despre această ediție, vizitați tabloul de bord cu starea de bună funcționare a lansării Windows sau pagina istoricului actualizărilor pentru Windows Server 2025.
Anunțuri și mesaje
Această secțiune oferă notificări cheie legate de această ediție, inclusiv anunțuri, jurnale de modificări și notificări de încheiere a asistenței.
Expirarea certificatului Windows Secure Boot
Mportant: Certificatele secure Boot utilizate de majoritatea dispozitivelor Windows sunt setate să expire începând din iunie 2026. Acest lucru poate afecta capacitatea anumitor dispozitive personale și de afaceri de a boota în siguranță dacă nu sunt actualizate la timp. Pentru a evita întreruperile, vă recomandăm să consultați instrucțiunile și să actualizați certificatele din timp. Pentru detalii și pași de pregătire, consultați Expirarea certificatului de boot securizat Windows și actualizările CA și blogul Windows Server Secure playbook.
Îmbunătăţiri
Această actualizare de securitate conține remedieri și îmbunătățiri de calitate din KB5082063 (lansat la 14 aprilie 2026) și KB5091157 (lansarea din 19 aprilie 2026). Următorul rezumat prezintă problemele cheie abordate de această actualizare. De asemenea, sunt incluse caracteristicile noi disponibile. Textul aldin dintre paranteze indică elementul sau zona modificării.
-
[Bootare sigură]Cu această actualizare, actualizările de calitate Windows includ date suplimentare de nivel înalt de încredere pentru direcționarea dispozitivelor, crescând acoperirea dispozitivelor eligibile pentru a primi automat noi certificate secure Boot. Dispozitivele primesc noile certificate numai după ce demonstrează suficiente semnale de actualizare reușite, menținând o implementare controlată și pe etape.
-
[Conectivitate] Această actualizare îmbunătățește fiabilitatea notificărilor Simple Service Discovery Protocol (SSDP), pentru a împiedica serviciul să nu mai răspundă.
-
[Ora de vară (DST)] Această actualizare acceptă modificarea DST 2023 pentru Republica Arabă Egipt.
-
[Controlere de domeniu] Această actualizare îmbunătățește performanța Local Security Authority Subsystem Service (LSASS) pe controlerele de domeniu atunci când este activat Microsoft Defender. Aceasta reduce utilizarea procesorului și a memoriei în timpul urmăririi evenimentelor pentru colecția Windows de evenimente IDL_DRSGetNCChanges.
-
[Desktop la distanță (problemă cunoscută)] Remediat: Această actualizare tratează o problemă care afectează caseta de dialog de avertizare privind securitatea conexiunii desktop la distanță. Caseta de dialog se poate reda incorect în scenariul cu mai multe monitoare atunci când monitoarele aveau un set diferit de scalare. Acest lucru se poate întâmpla după instalarea actualizării de securitate din aprilie 2026 (KB5082063). Pentru mai multe informații, consultați Înțelegerea avertismentelor de securitate atunci când deschideți fișiere Desktop la distanță (RDP).
-
[Conectare] După ce instalați actualizarea Windows lansată pe sau după 10 martie 2026, unii utilizatori pot întâmpina o problemă la conectarea la aplicații cu un cont Microsoft. Chiar și atunci când dispozitivul are o conexiune la internet funcțională, apare o eroare "fără internet" în timpul conectării și împiedică accesul la serviciile și aplicațiile Microsoft, cum ar fi Microsoft Teams.
Dacă ați instalat deja actualizările anterioare, dispozitivul dvs. va descărca și va instala doar actualizările noi incluse în acest pachet.
Pentru mai multe informații despre vulnerabilitățile de securitate, consultați Ghidul actualizărilor de securitate și Actualizări de securitate din mai 2026.
Windows Server actualizarea stivei de servicii 2025 (KB5089717) - 26100.32837
Această actualizare aduce îmbunătățiri de calitate pentru stiva de servicii, care este componenta ce instalează actualizările Windows. Actualizările stivei de servicii (SSU) asigură că aveți o stivă de servicii robustă și fiabilă, astfel încât dispozitivele dvs. să poată primi și instala actualizări Microsoft. Pentru a afla mai multe despre SSU-uri, consultați Simplificarea implementării locale a actualizărilor stivei de servicii.
Probleme cunoscute din această actualizare
Simptom
Unele dispozitive cu o configurație nerecomandată a politicii de grup BitLocker pot necesita introducerea cheii de recuperare BitLocker la prima repornire după instalarea acestei actualizări.
Această problemă afectează doar un număr limitat de sisteme în care toate condițiile următoare sunt adevărate. Este puțin probabil ca aceste condiții să fie găsite pe dispozitive personale care nu sunt gestionate de departamente IT.
-
BitLocker este activat pe unitatea sistemului de operare.
-
Politica de grup „Configurarea profilului de validare al platformei TPM pentru configurațiile firmware UEFI native” este configurată și PCR7 este inclus în profilul de validare (sau cheia de registry echivalentă este setată manual).
-
Informațiile de sistem (msinfo32.exe) raportează legarea SECURE Boot State PCR7 ca „Imposibilă”.
-
Certificatul Windows UEFI CA 2023 este prezent în baza de date Secure Boot Signature (DB) a dispozitivului, dispozitivul fiind astfel eligibil pentru ca Managerul de boot Windows semnat 2023 să îl seteze ca implicit.
-
Dispozitivul nu rulează deja Managerul de boot Windows semnat 2023.
În acest scenariu, cheia de recuperare BitLocker trebuie introdusă o singură dată; repornirile ulterioare nu vor declanșa un ecran de recuperare BitLocker, atât timp cât configurația politicii de grup rămâne neschimbată. Pentru ajutor la găsirea cheii de recuperare BitLocker, consultați articolul Găsirea cheii de recuperare BitLocker.
Se recomandă ca întreprinderile să auditeze politicile de grup BitLocker pentru includerea explicită a PCR7 și să verifice msinfo32.exe pentru starea lor de legare PCR7, înainte de a instala această actualizare. (Consultați soluția de mai jos.)
Soluție
Eliminați configurația Politică de grup înainte de a instala actualizarea (Recomandat)
-
Deschideți editorul politicii de grup (gpedit.msc) sau consola de gestionare a politicii de grup.
-
Navigați la: Configurație computer > Șabloane administrative > Componente Windows > Criptare unitate BitLocker > Unități sistem de operare.
-
Setați „Configurați profilul de validare al platformei TPM pentru configurațiile firmware UEFI native” la „Neconfigurat”.
-
Executați următoarea comandă pe dispozitivele afectate pentru a propaga modificarea de politică: gpupdate /force
-
Executați următoarea comandă pentru a suspenda BitLocker (acolo unde este activat BitLocker pe unitatea C:): manage-bde -protectors -disable C:
-
Executați următoarea comandă pentru a relua BitLocker (acolo unde este activat BitLocker pe unitatea C:): manage-bde -protectors -enable C:
-
Această acțiune actualizează legăturile BitLocker pentru a utiliza profilul PCR implicit selectat de Windows.
O rezolvare permanentă pentru această problemă este planificată într-o actualizare Windows viitoare. Vor fi furnizate mai multe informații atunci când vor fi disponibile.
După instalarea KB5070881 sau a actualizărilor ulterioare, Windows Server Update Services (WSUS) nu afișează detaliile despre erorile de sincronizare în cadrul raportării erorilor. Această funcționalitate este eliminată temporar pentru a trata vulnerabilitatea de execuție a codului la distanță, CVE-2025-59287.
Cum să obțineți această actualizare
Înainte de a instala această actualizare
Microsoft combină cea mai recentă actualizare a stivei de servicii (SSU) pentru sistemul de operare cu cea mai recentă actualizare cumulativă (LCU). Pentru informații generale despre SSU-uri, consultați Actualizările stivei de servicii.
Instalați această actualizare
Pentru a instala această actualizare, utilizați unul dintre următoarele canale de lansare Windows și Microsoft.
|
Disponibil |
Următorul pas |
|
|
|
Această actualizare se descarcă și se instalează automat de pe Windows Update și Microsoft Update. |
|
Disponibil |
Următorul pas |
|
|
Această actualizare se descarcă și se instalează automat de la Windows Update for Business, în conformitate cu politicile configurate. |
|
Disponibil |
Următorul pas |
|||||
|
|
Pentru a instala această versiune din Catalogul Microsoft Update, urmați aceste instrucțiuni:Înainte de a instala această actualizare, pachetele independente pentru această actualizare sunt disponibile de pe site-ul web Catalog Microsoft Update . Acest KB conține unul sau mai multe fișiere MSU care necesită instalare într-o anumită ordine. Puteți instala această actualizare utilizând Metoda 1 (instalați toate fișierele MSU împreună) sau Metoda 2 (instalați fiecare fișier MSU individual, în ordine). Metoda 1: Instalați toate fișierele MSU împreună Descărcați toate fișierele MSU pentru KB5087539 din Catalog Microsoft Update și plasați-le în același folder (de exemplu, C:/Packages). Utilizați Deployment Image Servicing and Management (DISM.exe) pentru a instala actualizarea țintă. DISM va utiliza folderul specificat în PackagePath pentru a descoperi și a instala unul sau mai multe fișiere MSU preliminare, după cum este necesar. Actualizarea PC-ului Windows Pentru a aplica această actualizare la un PC Windows care rulează, rulați următoarea comandă dintr-o linie de comandă cu drepturi sporite:
Sau rulați următoarea comandă dintr-o solicitare de Windows PowerShell cu drepturi sporite:
Sau utilizați Windows Update program de instalare independent pentru a instala actualizarea țintă. Se actualizează suportul de instalare Windows Pentru a aplica această actualizare la suportul de instalare Windows, consultați Actualizarea suportului de instalare Windows cu actualizarea dinamică. Notă: Atunci când descărcați alte pachete actualizare dinamică, asigurați-vă că acestea corespund aceleiași luni ca această actualizare KB. Dacă actualizarea dinamică SafeOS sau actualizarea dinamică de configurare nu sunt disponibile pentru aceeași lună ca această actualizare KB, utilizați cea mai recent publicată versiune a fiecăreia. Pentru a adăuga această actualizare la o imagine montată, rulați următoarea comandă dintr-o linie de comandă cu drepturi sporite:
Sau rulați următoarea comandă dintr-o solicitare de Windows PowerShell cu drepturi sporite:
Metoda 2: Instalați fiecare fișier MSU individual, în ordine Descărcați și instalați fiecare fișier MSU individual, utilizând DISM sau Windows Update Program de instalare independent în următoarea ordine:
|
|
Disponibil |
Următorul pas |
|
|
Această actualizare se va sincroniza automat cu Windows Server Update Services (WSUS) dacă configurați Produse și clasificări după cum urmează: Produs: Sistem de operare Microsoft Server-24H2 Clasificare: actualizări de securitate |
Dacă doriți să eliminați această actualizare
Înainte de a decide să eliminați această actualizare, consultați Înțelegerea riscurilor: De ce ar trebui să nu dezinstalați actualizările de securitate.
Pentru a elimina LCU după instalarea pachetului combinat SSU și LCU, utilizați opțiunea de linie de comandă DISM/Remove-Package cu numele pachetului LCU ca argument. Puteți găsi numele pachetului utilizând această comandă: DISM /online /get-packages.
Rularea Windows Update program de instalare independent (wusa.exe) cu comutatorul /uninstall de pe pachetul combinat nu va funcționa, deoarece pachetul combinat conține SSU. Nu puteți elimina SSU din sistem după instalare.
Informații despre fișiere
Pentru o listă a fișierelor furnizate în această actualizare, descărcați informațiile de fișier pentru actualizarea cumulativă 5087539.
Pentru o listă a fișierelor furnizate în actualizarea stivei de servicii, descărcați informațiile de fișier pentru SSU (KB5089717) - versiunea 26100.32837.
