Expirarea certificatului Windows Secure Boot
Important: Certificatele Secure Boot utilizate de majoritatea dispozitivelor Windows sunt setate să expire începând din iunie 2026. Acest lucru poate afecta capacitatea anumitor dispozitive personale și de afaceri de a boota în siguranță dacă nu sunt actualizate la timp. Pentru a evita întreruperile, vă recomandăm să consultați instrucțiunile și să actualizați certificatele din timp.
Pentru detalii și pașii de pregătire pentru dispozitivele Windows, consultați Expirarea certificatului de pornire sigură Windows și actualizările autorității de certificare.
Pentru detaliile și pașii de pregătire pentru serverele Windows, consultați următoarele resurse:
|
Modificare dată |
Modificare descriere |
|
14 aprilie 2026 |
Problemă cunoscută adăugată: "Este posibil să fie necesare dispozitive cu o configurație Politică de grup BitLocker nerecomutată pentru a introduce cheia de recuperare BitLocker" |
Rezumat
Acest articol listează problemele de securitate și îmbunătățirile de calitate incluse în această actualizare de securitate.
Se aplică la: Windows 10 ESU
Important: Utilizați EKB KB5015684 pentru a actualiza la Windows 10, versiunea 22H2.
Această actualizare de securitate include remedieri și îmbunătățiri de calitate care fac parte din următoarele actualizări:
Iată un rezumat al problemelor pe care le tratează această actualizare atunci când instalați această actualizare. Dacă există caracteristici noi, le listează și pe acestea. Textul aldin dintre paranteze indică elementul sau zona modificării pe care o documentăm.
-
[Conectare] Remediat: După ce instalați actualizarea Windows lansată pe sau după 10 martie 2026, unii utilizatori se pot confrunta cu o problemă de conectare la aplicații cu un cont Microsoft. Chiar și atunci când dispozitivul are o conexiune la internet funcțională, apare o eroare "fără internet" în timpul conectării și împiedică accesul la serviciile și aplicațiile Microsoft, cum ar fi Microsoft Teams.
-
[Desktop la distanță] Această actualizare îmbunătățește protecția împotriva atacurilor de phishing care utilizează fișiere Desktop la distanță (.rdp). Atunci când deschideți un fișier .rdp, Desktop la distanță afișează toate setările de conexiune solicitate înainte de conectare, fiecare setare având dezactivată în mod implicit. De asemenea, apare un avertisment unic de securitate prima dată când deschideți un fișier .rdp pe un dispozitiv. Pentru mai multe informații, consultați Înțelegerea avertismentelor de securitate atunci când deschideți fișiere Desktop la distanță (RDP).
-
[Bootare sigură]
-
Această actualizare permite raportarea dinamică a stărilor pentru stările bootării securizate în aplicația Securitate Windows (Setări > Actualizare & > Securitate Windows de securitate). Aflați mai multe despre avertizările de stare prin ecusoane și notificări. Rețineți că aceste îmbunătățiri sunt dezactivate în mod implicit pe dispozitivele și serverele comerciale.
-
Această actualizare remediază o problemă care poate face ca un dispozitiv să intre în Recuperare BitLocker după actualizările secure boot.
-
Cu această actualizare, actualizările de calitate Windows includ date suplimentare de nivel înalt de încredere pentru direcționarea dispozitivelor, crescând acoperirea dispozitivelor eligibile pentru a primi automat noi certificate secure Boot. Dispozitivele primesc noile certificate numai după ce demonstrează suficiente semnale de actualizare reușite, menținând o implementare controlată și pe etape.
-
Dacă ați instalat actualizări mai vechi, doar actualizările noi conținute în acest pachet vor fi descărcate și instalate pe dispozitivul dvs.
Pentru mai multe informații despre vulnerabilitățile de securitate, consultați noul site web Ghid de actualizări de securitate și Actualizări de securitate din aprilie 2026.
Pentru informații despre terminologia Windows Update, consultați articolul despre tipurile de actualizări Windows și tipurile lunare de actualizări de calitate. Pentru o prezentare generală a Windows 10, versiunea 22H2, consultați pagina istoricului actualizărilor sale.
Notă Urmați @WindowsUpdate pentru a afla când este publicat conținut nou în tabloul de bord cu starea de bună funcționare a lansării Windows.
Probleme cunoscute din această actualizare
Simptom
Unele dispozitive cu o configurație bitLocker Politică de grup nerecomprimată pot fi necesare pentru a introduce cheia de recuperare BitLocker la prima repornire după instalarea acestei actualizări.
Această problemă afectează doar un număr limitat de sisteme în care toate condițiile următoare sunt adevărate. Este puțin probabil ca aceste condiții să fie găsite pe dispozitivele personale care nu sunt gestionate de departamentele IT.
-
BitLocker este activat pe unitatea sistemului de operare.
-
Este configurat Politică de grup "Configurați profilul de validare al platformei TPM pentru configurațiile firmware UEFI native" și PCR7 este inclus în profilul de validare (sau cheia de registry echivalentă este setată manual).
-
Informațiile de sistem (msinfo32.exe) raportează legarea SECURE Boot State PCR7 ca "Imposibil".
-
Certificatul Windows UEFI CA 2023 este prezent în baza de date Secure Boot Signature (DB) a dispozitivului, făcând ca dispozitivul eligibil pentru Managerul de boot Windows semnat 2023 să fie făcut implicit.
-
Dispozitivul nu rulează deja Managerul de boot Windows semnat pentru 2023.
În acest scenariu, cheia de recuperare BitLocker trebuie introdusă o singură dată - repornirile ulterioare nu vor declanșa un ecran de recuperare BitLocker, atât timp cât configurația politicii de grup rămâne neschimbată. Pentru ajutor la găsirea cheii de recuperare BitLocker, consultați articolul Găsirea cheii de recuperare BitLocker.
Se recomandă ca întreprinderile să auditeze politicile de grup BitLocker pentru includerea explicită a PCR7 și să verifice msinfo32.exe pentru starea lor de legare PCR7 înainte de a instala această actualizare. (Consultați Opțiunea 1 de mai jos.)
Soluție
Opțiunea 1: eliminați configurația Politică de grup înainte de a instala actualizarea (recomandat)
-
Deschideți Politică de grup Editor (gpedit.msc) sau consola de gestionare Politică de grup.
-
Navigați la: Configurație computer > Șabloane administrative > componente Windows > Criptare unitate BitLocker > unități de sistem de operare.
-
Setați "Configurați profilul de validare al platformei TPM pentru configurațiile firmware UEFI native" la "Neconfiguit".
-
Rulați următoarea comandă pe dispozitivele afectate pentru a propaga modificarea de politică: gpupdate /force
-
Rulați următoarea comandă pentru a suspenda BitLocker (unde este activat BitLocker pe unitatea C:): manage-bde -protectors -disable C:
-
Rulați următoarea comandă pentru a relua BitLocker (unde este activat BitLocker pe unitatea C:): manage-bde -protectors -enable C:
-
Acest lucru actualizează legăturile BitLocker pentru a utiliza profilul PCR implicit selectat de Windows.
Opțiunea 2: aplicați problema cunoscută la revenire (KIR) înainte de a instala actualizarea
Este disponibilă o versiune anterioară a problemelor cunoscute (KIR) pentru clienții care nu pot elimina politica de grup PCR7 înainte de a implementa această actualizare. KIR împiedică comutarea automată la Managerul de boot 2023, evitând declanșatorul de recuperare BitLocker. KIR ar trebui să fie implementat înainte de a instala actualizarea pe dispozitivele afectate. Contactați Asistența Microsoft pentru business pentru a obține acest KIR.
Pașii următori
O rezolvare permanentă pentru această problemă este planificată într-o actualizare Windows viitoare. Vor fi furnizate mai multe informații atunci când vor fi disponibile.
Se aplică la: Windows 10 Enterprise LTSC 2021 și Windows 10 IoT Enterprise LTSC 2021
Important: Utilizați EKB KB5003791 pentru a actualiza la Windows 10, versiunea 21H2 în edițiile acceptate.
Această actualizare de securitate include remedieri și îmbunătățiri de calitate care fac parte din următoarele actualizări:
Iată un rezumat al problemelor pe care le tratează această actualizare atunci când instalați această actualizare. Dacă există caracteristici noi, le listează și pe acestea. Textul aldin dintre paranteze indică elementul sau zona modificării pe care o documentăm.
-
[Conectare] Remediat: După ce instalați actualizarea Windows lansată pe sau după 10 martie 2026, unii utilizatori se pot confrunta cu o problemă de conectare la aplicații cu un cont Microsoft. Chiar și atunci când dispozitivul are o conexiune la internet funcțională, apare o eroare "fără internet" în timpul conectării și împiedică accesul la serviciile și aplicațiile Microsoft, cum ar fi Microsoft Teams.
-
[Licențiere] Îmbunătățită: Această actualizare tratează o problemă care afectează crearea de imagini Long-Term Canal de servicii (LTSC) utilizând Deployment Image Servicing and Management (DISM). Operațiunile offline DISM din edițiile de mai jos nu au putut aplica actualizări de securitate din cauza limitelor impuse de licențiere. Acum puteți utiliza DISM pentru a adăuga pachete de securitate în timpul creării imaginilor offline pentru LTSC.
-
Windows 10 IoT Enterprise LTSC 2021
-
SKU Windows 10 Enterprise G
-
Windows 10 Enterprise N LTSC
-
-
[Desktop la distanță] Această actualizare îmbunătățește protecția împotriva atacurilor de phishing care utilizează fișiere Desktop la distanță (.rdp). Atunci când deschideți un fișier .rdp, Desktop la distanță afișează toate setările de conexiune solicitate înainte de conectare, fiecare setare având dezactivată în mod implicit. De asemenea, apare un avertisment unic de securitate prima dată când deschideți un fișier .rdp pe un dispozitiv. Pentru mai multe informații, consultați Înțelegerea avertismentelor de securitate atunci când deschideți fișiere Desktop la distanță (RDP).
-
[Bootare sigură]
-
Această actualizare permite raportarea dinamică a stărilor pentru stările bootării securizate în aplicația Securitate Windows (Setări > Actualizare & > Securitate Windows de securitate). Aflați mai multe despre avertizările de stare prin ecusoane și notificări. Rețineți că aceste îmbunătățiri sunt dezactivate în mod implicit pe dispozitivele și serverele comerciale.
-
Această actualizare remediază o problemă care poate face ca un dispozitiv să intre în Recuperare BitLocker după actualizările secure boot.
-
Cu această actualizare, actualizările de calitate Windows includ date suplimentare de nivel înalt de încredere pentru direcționarea dispozitivelor, crescând acoperirea dispozitivelor eligibile pentru a primi automat noi certificate secure Boot. Dispozitivele primesc noile certificate numai după ce demonstrează suficiente semnale de actualizare reușite, menținând o implementare controlată și pe etape.
-
Dacă ați instalat actualizări mai vechi, doar actualizările noi conținute în acest pachet vor fi descărcate și instalate pe dispozitivul dvs.
Pentru mai multe informații despre vulnerabilitățile de securitate, consultați noul site web Ghid de actualizări de securitate și Actualizări de securitate din aprilie 2026.
Pentru informații despre terminologia Windows Update, consultați articolul despre tipurile de actualizări Windows și tipurile lunare de actualizări de calitate. Pentru o prezentare generală a Windows 10, versiunea 22H2, consultați pagina istoricului actualizărilor sale.
Notă Urmați @WindowsUpdate pentru a afla când este publicat conținut nou în tabloul de bord cu starea de bună funcționare a lansării Windows.
Probleme cunoscute din această actualizare
Simptom
Unele dispozitive cu o configurație bitLocker Politică de grup nerecomprimată pot fi necesare pentru a introduce cheia de recuperare BitLocker la prima repornire după instalarea acestei actualizări.
Această problemă afectează doar un număr limitat de sisteme în care toate condițiile următoare sunt adevărate. Este puțin probabil ca aceste condiții să fie găsite pe dispozitivele personale care nu sunt gestionate de departamentele IT.
-
BitLocker este activat pe unitatea sistemului de operare.
-
Este configurat Politică de grup "Configurați profilul de validare al platformei TPM pentru configurațiile firmware UEFI native" și PCR7 este inclus în profilul de validare (sau cheia de registry echivalentă este setată manual).
-
Informațiile de sistem (msinfo32.exe) raportează legarea SECURE Boot State PCR7 ca "Imposibil".
-
Certificatul Windows UEFI CA 2023 este prezent în baza de date Secure Boot Signature (DB) a dispozitivului, făcând ca dispozitivul eligibil pentru Managerul de boot Windows semnat 2023 să fie făcut implicit.
-
Dispozitivul nu rulează deja Managerul de boot Windows semnat pentru 2023.
În acest scenariu, cheia de recuperare BitLocker trebuie introdusă o singură dată - repornirile ulterioare nu vor declanșa un ecran de recuperare BitLocker, atât timp cât configurația politicii de grup rămâne neschimbată. Pentru ajutor la găsirea cheii de recuperare BitLocker, consultați articolul Găsirea cheii de recuperare BitLocker.
Se recomandă ca întreprinderile să auditeze politicile de grup BitLocker pentru includerea explicită a PCR7 și să verifice msinfo32.exe pentru starea lor de legare PCR7 înainte de a instala această actualizare. (Consultați Opțiunea 1 de mai jos.)
Soluție
Opțiunea 1: eliminați configurația Politică de grup înainte de a instala actualizarea (recomandat)
-
Deschideți Politică de grup Editor (gpedit.msc) sau consola de gestionare Politică de grup.
-
Navigați la: Configurație computer > Șabloane administrative > componente Windows > Criptare unitate BitLocker > unități de sistem de operare.
-
Setați "Configurați profilul de validare al platformei TPM pentru configurațiile firmware UEFI native" la "Neconfiguit".
-
Rulați următoarea comandă pe dispozitivele afectate pentru a propaga modificarea de politică: gpupdate /force
-
Rulați următoarea comandă pentru a suspenda BitLocker (unde este activat BitLocker pe unitatea C:): manage-bde -protectors -disable C:
-
Rulați următoarea comandă pentru a relua BitLocker (unde este activat BitLocker pe unitatea C:): manage-bde -protectors -enable C:
-
Acest lucru actualizează legăturile BitLocker pentru a utiliza profilul PCR implicit selectat de Windows.
Opțiunea 2: aplicați problema cunoscută la revenire (KIR) înainte de a instala actualizarea
Este disponibilă o versiune anterioară a problemelor cunoscute (KIR) pentru clienții care nu pot elimina politica de grup PCR7 înainte de a implementa această actualizare. KIR împiedică comutarea automată la Managerul de boot 2023, evitând declanșatorul de recuperare BitLocker. KIR ar trebui să fie implementat înainte de a instala actualizarea pe dispozitivele afectate. Contactați Asistența Microsoft pentru business pentru a obține acest KIR.
Pașii următori
O rezolvare permanentă pentru această problemă este planificată într-o actualizare Windows viitoare. Vor fi furnizate mai multe informații atunci când vor fi disponibile.
Windows 10 actualizarea stivei de servicii (KB5084130) - versiunea 19041.7183
Microsoft combină acum cea mai recentă actualizare a stivei de servicii (SSU) pentru sistemul de operare cu cea mai recentă actualizare cumulativă (LCU). SSU-urile îmbunătățesc fiabilitatea procesului de actualizare și include remedieri în stiva de servicii, componenta care instalează actualizările Windows.
Notă: Această actualizare a stivei de servicii (SSU) include o logică îmbunătățită pentru a verifica dacă un dispozitiv este găzduit pe Azure, valorificând un lanț de certificate actualizat pentru validare. Pentru a vă asigura că dispozitivul poate accesa domeniile de actualizare a certificatelor necesare pentru a descărca și a instala cu succes actualizări de certificate, consultați Descărcări de certificate și liste de revocare și Azure detaliile autorității de certificare. Pentru a afla mai multe despre SSU-uri, consultați Actualizările stivei de servicii.
Cum se obține această actualizare
Înainte de a instala această actualizare
Important Trebuie să aveți instalată cea mai recentă actualizare a stivei de servicii (SSU) Windows 10. Dacă nu instalați cel mai recent SSU înainte de a aplica actualizările Windows, actualizarea Windows nu va fi oferită până când nu este instalat cel mai recent SSU.
Pe baza scenariului de instalare, alegeți una dintre următoarele variante:
-
Pentru întreținerea offline a imaginii sistemului de operare:
Dacă imaginea dvs. nu are LCU din 25 iulie 2023 (KB5028244) sau o versiune mai recentă, trebuie să instalați SSU special independent din 13 octombrie 2023 (KB5031539) înainte de a instala această actualizare.
-
Pentru Windows Server implementare Servicii de actualizare (WSUS) sau atunci când instalați pachetul independent din Catalogul Microsoft Update:
Dacă dispozitivele dvs. nu au LCU din 11 mai 2021 (KB5003173) sau un LCU mai recent, trebuie să instalați SSU special independent, 10 august 2021 (KB5005260) înainte de a instala această actualizare.
Instalați această actualizare
Pentru a instala această actualizare, utilizați unul dintre următoarele canale de lansare Windows și Microsoft.
|
Disponibil |
Următorul pas |
|
|
Această actualizare va fi descărcată și instalată automat de la Windows Update. |
|
Disponibil |
Următorul pas |
|
|
Această actualizare va fi descărcată și instalată automat de la Windows Update for Business, în conformitate cu politicile configurate. |
|
Disponibil |
Următorul pas |
|
|
Pentru a obține pachetul independent pentru această actualizare, accesați site-ul web Catalog Microsoft Update . Pentru informații despre cum să descărcați și să instalați actualizări din Catalogul de actualizări, consultați Cum să descărcați actualizări care includ drivere și remedieri rapide din Catalogul Windows Update. |
|
Disponibil |
Următorul pas |
|
|
Această actualizare se va sincroniza automat cu Windows Server Update Services (WSUS) dacă configurați Produse și clasificări după cum urmează:
Pentru a configura serverul WSUS să se sincronizeze pe baza produselor și clasificărilor, consultați Sincronizarea actualizării după produs și clasificare. Pentru a importa manual actualizări în WSUS, consultați Importul actualizărilor în WSUS utilizând PowerShell. |
Informații despre fișiere
O listă a fișierelor incluse în această actualizare este furnizată într-un fișier CSV (delimitat prin virgulă) (*.csv). Fișierul poate fi deschis într-un editor de text, cum ar fi Notepad sau în Microsoft Excel.
Notă: Versiunea în limba engleză (Statele Unite ale Americii) a acestei actualizări de software poate conține fișiere pentru limbi suplimentare.
Informații corelate
Dacă doriți să eliminați această actualizare
PRECAUŢIE Înainte de a decide să eliminați această actualizare, consultați Înțelegerea riscurilor: De ce ar trebui să nu dezinstalați actualizările de securitate.
Pentru a elimina LCU după instalarea pachetului combinat SSU și LCU, utilizați opțiunea de linie de comandă DISM/Remove-Package cu numele pachetului LCU ca argument. Puteți găsi numele pachetului utilizând această comandă: DISM /online /get-packages.
Rularea Windows Update program de instalare independent (wusa.exe) cu comutatorul /uninstall de pe pachetul combinat nu va funcționa, deoarece pachetul combinat conține SSU. Nu puteți elimina SSU din sistem după instalare.
Notificare pentru actualizările aplicației Microsoft Store
Actualizările Windows nu instalează actualizările aplicației Microsoft Store. Dacă sunteți utilizator la nivel de întreprindere, consultați Aplicațiile din Microsoft Store - Configuration Manager. Dacă sunteți utilizator consumator, consultați Obțineți actualizări pentru aplicații și jocuri din Microsoft Store.
Informații despre data de sfârșit al perioadei de asistență
Sfârșitul perioadei de asistență pentru Windows 10, versiunile 21H2/22H2 și Windows 10 Enterprise LTSC 2021
Microsoft nu va mai furniza actualizări de software gratuite de la Windows Update, asistență tehnică sau remedieri de securitate la următoarele date de expirare:
♦ Windows 10, versiunea 21H2: asistența s-a încheiat pe 13 iunie 2023
♦ Windows 10, versiunea 22H2: asistența s-a încheiat pe 14 octombrie 2025
♦ Windows 10 Enterprise LTSC 2021: 12 ianuarie 2027
♦ Windows 10 IoT Enterprise LTSC 2021: 13 ianuarie 2032
Notă:Actualizări de securitate extinse (ESU) pentru Windows 10 se termină pe 13 octombrie 2026. Vă recomandăm să faceți upgrade la o versiune mai recentă de Windows.
