Această actualizare în afara benzii (OOB) pentru Windows Server 2025 (KB5091157) este o actualizare nelegate de securitate.
Îmbunătăţiri
Această actualizare în afara benzii conține îmbunătățiri de calitate din KB5082063 (lansat la 14 aprilie 2026). Următorul rezumat prezintă problemele cheie abordate de această actualizare în afara benzii. Textul aldin dintre paranteze indică elementul sau zona modificării.
-
[Controlere de domeniu (problemă cunoscută)] Remediat: După ce instalați 14 aprilie 2026, actualizarea de securitate Windows (KB5082063) și repornirea, controlerele de domeniu cu păduri cu mai multe domenii care utilizează Gestionarea accesului privilegiat (PAM) ar putea întâmpina probleme de pornire. În unele cazuri, Local Security Authority Subsystem Service (LSASS) poate să nu mai răspundă, conducând la reporniri repetate și împiedicând serviciile de autentificare și director, ceea ce poate face domeniul indisponibil.
-
[Instalare windows update] Remediat: este posibil ca un număr mic de dispozitive Windows Server 2025 să nu reușească să instaleze actualizarea de securitate Windows (KB5082063) din 14 aprilie 2026. Atunci când apare această problemă, dispozitivele afectate pot afișa unul dintre următoarele mesaje de eroare: "Eroare de instalare: 0x800F0983" sau "Unele fișiere de actualizare lipsesc sau au probleme. Vom încerca să descărcăm actualizarea din nou mai târziu. Cod de eroare: 0x80073712."
Dacă ați instalat actualizări mai vechi, dispozitivul dvs. descarcă și instalează doar actualizările noi conținute în acest pachet.
Notă Dispozitivele înscrise în actualizarea Hotpatch Windows Server 2025 afectate de problema de instalare KB5082063 pot instala această actualizare OOB pentru aceleași protecții. Totuși, acest lucru va necesita o repornire, iar actualizările de tip hotpatch nu vor fi reluate până la actualizarea de referință din iulie 2026.
Actualizarea stivei de servicii Windows Sever 2025 (KB5082062) -26100.32692
Această actualizare aduce îmbunătățiri de calitate pentru stiva de servicii, care este componenta ce instalează actualizările Windows. Actualizările stivei de servicii (SSU) asigură că aveți o stivă de servicii robustă și fiabilă, astfel încât dispozitivele dvs. să poată primi și instala actualizări Microsoft. Pentru a afla mai multe despre SSU-uri, consultați Simplificarea implementării locale a actualizărilor stivei de servicii.
Probleme cunoscute din această actualizare
Simptom
Unele dispozitive cu o configurație bitLocker Politică de grup nerecomprimată pot fi necesare pentru a introduce cheia de recuperare BitLocker la prima repornire după instalarea acestei actualizări.
Această problemă afectează doar un număr limitat de sisteme în care toate condițiile următoare sunt adevărate. Este puțin probabil ca aceste condiții să fie găsite pe dispozitivele personale care nu sunt gestionate de departamentele IT.
-
BitLocker este activat pe unitatea sistemului de operare.
-
Este configurat Politică de grup "Configurați profilul de validare al platformei TPM pentru configurațiile firmware UEFI native" și PCR7 este inclus în profilul de validare (sau cheia de registry echivalentă este setată manual).
-
Informațiile de sistem (msinfo32.exe) raportează legarea SECURE Boot State PCR7 ca "Imposibil".
-
Certificatul Windows UEFI CA 2023 este prezent în baza de date Secure Boot Signature (DB) a dispozitivului, făcând ca dispozitivul eligibil pentru Managerul de boot Windows semnat 2023 să fie făcut implicit.
-
Dispozitivul nu rulează deja Managerul de boot Windows semnat pentru 2023.
În acest scenariu, cheia de recuperare BitLocker trebuie introdusă o singură dată - repornirile ulterioare nu vor declanșa un ecran de recuperare BitLocker, atât timp cât configurația politicii de grup rămâne neschimbată. Pentru ajutor la găsirea cheii de recuperare BitLocker, consultați articolul Găsirea cheii de recuperare BitLocker.
Se recomandă ca întreprinderile să auditeze politicile de grup BitLocker pentru includerea explicită a PCR7 și să verifice msinfo32.exe pentru starea lor de legare PCR7 înainte de a instala această actualizare. (Consultați Opțiunea 1 de mai jos.)
Soluție
Opțiunea 1: eliminați configurația Politică de grup înainte de a instala actualizarea (recomandat)
-
Deschideți Politică de grup Editor (gpedit.msc) sau consola de gestionare Politică de grup.
-
Navigați la: Configurație computer > Șabloane administrative > componente Windows > Criptare unitate BitLocker > unități de sistem de operare.
-
Setați "Configurați profilul de validare al platformei TPM pentru configurațiile firmware UEFI native" la "Neconfiguit".
-
Rulați următoarea comandă pe dispozitivele afectate pentru a propaga modificarea de politică: gpupdate /force
-
Rulați următoarea comandă pentru a suspenda BitLocker (unde este activat BitLocker pe unitatea C:): manage-bde -protectors -disable C:
-
Rulați următoarea comandă pentru a relua BitLocker (unde este activat BitLocker pe unitatea C:): manage-bde -protectors -enable C:
-
Acest lucru actualizează legăturile BitLocker pentru a utiliza profilul PCR implicit selectat de Windows.
Opțiunea 2: aplicați problema cunoscută la revenire (KIR) înainte de a instala actualizarea
Este disponibilă o versiune anterioară a problemelor cunoscute (KIR) pentru clienții care nu pot elimina politica de grup PCR7 înainte de a implementa această actualizare. KIR împiedică comutarea automată la Managerul de boot 2023, evitând declanșatorul de recuperare BitLocker. KIR ar trebui să fie implementat înainte de a instala actualizarea pe dispozitivele afectate. Contactați Asistența Microsoft pentru business pentru a obține acest KIR.
O rezolvare permanentă pentru această problemă este planificată într-o actualizare Windows viitoare. Vor fi furnizate mai multe informații atunci când vor fi disponibile.
După instalarea KB5070881 sau a actualizărilor ulterioare, Windows Server Update Services (WSUS) nu afișează detaliile despre erorile de sincronizare în cadrul raportării erorilor. Această funcționalitate este eliminată temporar pentru a trata vulnerabilitatea de execuție a codului la distanță, CVE-2025-59287.
Cum se obține această actualizare
Înainte de a instala această actualizare
Microsoft combină acum cea mai recentă actualizare a stivei de servicii (SSU) pentru sistemul de operare cu cea mai recentă actualizare cumulativă (LCU). Pentru informații generale despre SSU-uri, consultați Actualizările stivei de servicii.
Instalați această actualizare
Pentru a instala această actualizare, utilizați unul dintre următoarele canale de lansare Windows și Microsoft.
|
Disponibil |
Următorul pas |
|
|
Vedeți celelalte opțiuni. |
|
Disponibil |
Următorul pas |
|
|
Vedeți celelalte opțiuni. |
|
Disponibil |
Următorul pas |
|||||
|
|
Pentru a instala această versiune din Catalogul Microsoft Update, urmați aceste instrucțiuni: Înainte de a instala această actualizare, pachetele independente pentru această actualizare, accesați site-ul web Catalog Microsoft Update. Acest KB conține unul sau mai multe fișiere MSU care necesită instalare într-o anumită ordine. Puteți instala această actualizare utilizând Metoda 1 (instalați toate fișierele MSU împreună) sau Metoda 2 (instalați fiecare fișier MSU individual, în ordine). Metoda 1: Instalați toate fișierele MSU împreună Descărcați toate fișierele MSU pentru KB5091157 din Catalog Microsoft Update și plasați-le în același folder (de exemplu, C:/Packages). Utilizați Deployment Image Servicing and Management (DISM.exe) pentru a instala actualizarea țintă. DISM va utiliza folderul specificat în PackagePath pentru a descoperi și a instala unul sau mai multe fișiere MSU preliminare, după cum este necesar. Actualizarea PC-ului Windows Pentru a aplica această actualizare la un PC Windows care rulează, rulați următoarea comandă dintr-o linie de comandă cu drepturi sporite:
Sau rulați următoarea comandă dintr-o solicitare de Windows PowerShell cu drepturi sporite:
Sau utilizați Windows Update program de instalare independent pentru a instala actualizarea țintă. Se actualizează suportul de instalare Windows Pentru a aplica această actualizare la suportul de instalare Windows, consultați Actualizarea suportului de instalare Windows cu actualizarea dinamică. Notă: Atunci când descărcați alte pachete actualizare dinamică, asigurați-vă că acestea corespund aceleiași luni ca această actualizare KB. Dacă actualizarea dinamică SafeOS sau actualizarea dinamică de configurare nu sunt disponibile pentru aceeași lună ca această actualizare KB, utilizați cea mai recent publicată versiune a fiecăreia. Pentru a adăuga această actualizare la o imagine montată, rulați următoarea comandă dintr-o linie de comandă cu drepturi sporite:
Sau rulați următoarea comandă dintr-o solicitare de Windows PowerShell cu drepturi sporite:
Metoda 2: Instalați fiecare fișier MSU individual, în ordine Descărcați și instalați fiecare fișier MSU individual, utilizând DISM sau Windows Update Program de instalare independent în următoarea ordine:
|
|
Disponibil |
Următorul pas |
|
|
Vedeți celelalte opțiuni. |
Dacă doriți să eliminați această actualizare
Atenție: Înainte de a decide să eliminați această actualizare, consultați Înțelegerea riscurilor: De ce ar trebui să nu dezinstalați actualizările de securitate.
Pentru a elimina această actualizare după instalarea pachetului combinat SSU și LCU, utilizați opțiunea de linie de comandă DISM/Remove-Package cu numele pachetului LCU ca argument. Puteți găsi numele pachetului utilizând această comandă: DISM /online /get-packages.
Rularea Windows Update program de instalare independent (wusa.exe) cu comutatorul /uninstall de pe pachetul combinat nu va funcționa, deoarece pachetul combinat conține SSU. Nu puteți elimina SSU din sistem după instalare.
Informații despre fișiere
Pentru o listă a fișierelor furnizate în această actualizare, descărcați informațiile de fișier pentru actualizarea în afara benzii 5091157.
Pentru o listă a fișierelor furnizate în actualizarea stivei de servicii, descărcați informațiile de fișier pentru SSU (KB5082062) - versiunea 26100.32692.
