Это автономное обновление (OOB) для Windows Server 2025 г. (KB5091157) является накопительным обновлением, не относящегося к системе безопасности.
Улучшения
Это обновление вне диапазона содержит улучшения качества по сравнению с KB5082063 (выпущено 14 апреля 2026 г.). В следующем сводке описаны ключевые проблемы, устраняемые этим обновлением вне диапазона. Полужирный текст в квадратных скобках указывает на элемент или область изменения.
-
[Контроллеры домена (известная проблема)] Исправлено. После установки 14 апреля 2026 г. обновления для системы безопасности Windows (KB5082063) и перезапуска контроллеры домена с лесами с несколькими доменами, использующие управление привилегированным доступом (PAM), могут столкнуться с проблемами при запуске. В некоторых случаях служба подсистемы локального центра безопасности (LSASS) может перестать отвечать, что приводит к повторным перезапускам и предотвращает проверку подлинности и службы каталогов, что может сделать домен недоступным.
-
[Установка центра обновления Windows] Исправлено. Небольшое количество устройств Windows Server 2025 года может не установить обновление для системы безопасности Windows (KB5082063) от 14 апреля 2026 г. При возникновении этой проблемы затронутые устройства могут отображать одно из следующих сообщений об ошибке: "Ошибка установки: 0x800F0983" или "Некоторые файлы обновления отсутствуют или имеют проблемы. Позже мы попытаемся скачать обновление еще раз. Код ошибки: 0x80073712".
Если вы установили предыдущие обновления, устройство скачивает и устанавливает только новые обновления, содержащиеся в этом пакете.
Примечание. Зарегистрированные обновления hotpatch Windows Server устройствах 2025 года, затронутых проблемой установки KB5082063, могут установить это обновление OOB для той же защиты. Однако для этого потребуется перезапуск, и обновления горячего исправления не будут возобновлены до базового обновления за июль 2026 г.
Обновление стека обслуживания Windows Sever 2025 (KB5082062) -26100.32692
Это обновление вносит улучшения в стек обслуживания — компонент, устанавливающий обновления Windows. Обновления стека обслуживания (SSU) гарантируют наличие надежного и надежного стека обслуживания, чтобы устройства могли получать и устанавливать обновления Майкрософт. Дополнительные сведения об SSU см. в статье Упрощение локального развертывания обновлений стека обслуживания.
Известные проблемы, связанные с этим обновлением
Проблема
Для некоторых устройств с нерекомендуемой конфигурацией BitLocker групповая политика может потребоваться ввести ключ восстановления BitLocker при первой перезагрузке после установки этого обновления.
Эта проблема затрагивает только ограниченное число систем, в которых выполняются все перечисленные ниже условия. Эти условия вряд ли будут обнаружены на личных устройствах, не управляемых ИТ-отделами.
-
BitLocker включен на диске ОС.
-
Настроен групповая политика "Настройка профиля проверки платформы доверенного платформы для собственных конфигураций встроенного ПО UEFI", и PCR7 включается в профиль проверки (или эквивалентный раздел реестра задается вручную).
-
Сведения о системе (msinfo32.exe) сообщают о привязке PCR7 состояния безопасной загрузки как "Невозможно".
-
Сертификат Windows UEFI CA 2023 присутствует в базе данных сигнатур безопасной загрузки (DB) устройства, что делает устройство подходящим для подписанного 2023 диспетчера загрузки Windows по умолчанию.
-
На устройстве еще не запущен диспетчер загрузки Windows с подписью 2023 года.
В этом сценарии ключ восстановления BitLocker необходимо ввести только один раз. Последующие перезапуски не активируют экран восстановления BitLocker до тех пор, пока конфигурация групповой политики остается неизменной. Сведения о поиске ключа восстановления BitLocker см. в статье Поиск ключа восстановления BitLocker.
Предприятиям рекомендуется выполнить аудит групповых политик BitLocker на наличие явного включения PCR7 и проверка msinfo32.exe состояния привязки PCR7 перед установкой этого обновления. (См. вариант 1 ниже.)
Временное решение
Вариант 1. Удаление конфигурации групповая политика перед установкой обновления (рекомендуется)
-
Откройте редактор групповая политика (gpedit.msc) или консоль управления групповая политика.
-
Перейдите к разделу Конфигурация компьютера > административные шаблоны > Компоненты Windows > шифрование диска BitLocker > диски операционной системы.
-
Задайте для параметра "Настройка профиля проверки платформы доверенного платформы для собственных конфигураций встроенного ПО UEFI" значение "Не настроено".
-
Выполните следующую команду на затронутых устройствах, чтобы распространить изменение политики: gpupdate /force
-
Выполните следующую команду, чтобы приостановить BitLocker (где BitLocker включен на диске C:): manage-bde -protectors -disable C:
-
Выполните следующую команду, чтобы возобновить BitLocker (где BitLocker включен на диске C:): manage-bde -protectors -enable C:
-
При этом привязки BitLocker будут обновлены для использования выбранного Windows профиля PCR по умолчанию.
Вариант 2. Применение отката известной проблемы (KIR) перед установкой обновления
Известный откат проблемы (KIR) доступен для клиентов, которые не могут удалить групповую политику PCR7 перед развертыванием этого обновления. Kir предотвращает автоматическое переключение на диспетчер загрузки 2023, избегая триггера восстановления BitLocker. Перед установкой обновления на затронутых устройствах необходимо развернуть kir. Чтобы получить этот KIR, обратитесь в службу поддержки Майкрософт для бизнеса .
Постоянное решение этой проблемы планируется в будущем обновлении Windows. Дополнительные сведения будут предоставлены, когда она будет доступна.
После установки KB5070881 или более поздних обновлений службы Windows Server Update Services (WSUS) не отображают сведения об ошибках синхронизации в своих отчетах об ошибках. Эта функция временно удалена для устранения уязвимости удаленного выполнения кода CVE-2025-59287.
Порядок получения обновления
Перед установкой этого обновления
Корпорация Майкрософт теперь объединяет последнее обновление стека обслуживания (SSU) для вашей операционной системы с последним накопительным обновлением (LCU). Общие сведения об SSU см. в разделе Обновления стека обслуживания.
Установка этого обновления
Чтобы установить это обновление, используйте один из следующих каналов выпуска Windows и Майкрософт.
|
Доступен |
Следующий шаг. |
|
|
См. другие варианты. |
|
Доступен |
Следующий шаг. |
|
|
См. другие варианты. |
|
Доступен |
Следующий шаг. |
|||||
|
|
Чтобы установить этот выпуск из каталога Центра обновления Майкрософт, выполните следующие инструкции: Перед установкой этого обновления автономные пакеты для этого обновления перейдите на веб-сайт каталога Центра обновления Майкрософт. Эта база знаний содержит один или несколько файлов MSU, которые требуют установки в определенном порядке. Это обновление можно установить с помощью метода 1 (установка всех файлов MSU вместе) или метода 2 (установка каждого файла MSU по отдельности по порядку). Способ 1. Установка всех файлов MSU вместе Скачайте все файлы MSU для KB5091157 из каталога Центра обновления Майкрософт и поместите их в одну папку (например, C:/Packages). Используйте службу обслуживания образов развертывания и управление ими (DISM.exe) для установки целевого обновления. DISM будет использовать папку, указанную в PackagePath , для обнаружения и установки одного или нескольких необходимых MSU-файлов по мере необходимости. Обновление компьютера с Windows Чтобы применить это обновление к компьютеру под управлением Windows, выполните следующую команду из командной строки с повышенными привилегиями:
Или выполните следующую команду в командной строке Windows PowerShell с повышенными привилегиями:
Или используйте клиентский компонент Центра обновления Windows автономный установщик для установки целевого обновления. Обновление установочного носителя Windows Сведения о применении этого обновления к установочному носителю Windows см. в статье Обновление установочного носителя Windows с помощью динамического обновления. Примечание: При скачивании других пакетов динамического обновления убедитесь, что они совпадают с этим месяцем базы знаний. Если динамическое обновление SafeOS или динамическое обновление установки недоступны в течение того же месяца, что и это обновление базы знаний, используйте последнюю опубликованную версию каждого из них. Чтобы добавить это обновление в подключенный образ, выполните следующую команду из командной строки с повышенными привилегиями:
Или выполните следующую команду в командной строке Windows PowerShell с повышенными привилегиями:
Способ 2. Установка каждого файла MSU по отдельности по порядку Скачайте и установите каждый файл MSU по отдельности с помощью DISM или клиентский компонент Центра обновления Windows автономного установщика в следующем порядке:
|
|
Доступен |
Следующий шаг. |
|
|
См. другие варианты. |
Если вы хотите удалить это обновление
Внимание! Прежде чем удалить это обновление, ознакомьтесь с разделом Общие сведения о рисках: почему не следует удалять обновления для системы безопасности.
Чтобы удалить это обновление после установки объединенного пакета SSU и LCU, используйте параметр командной строки DISM/Remove-Package с именем пакета LCU в качестве аргумента. Имя пакета можно найти с помощью следующей команды: DISM /online /get-packages.
Запуск клиентский компонент Центра обновления Windows автономного установщика (wusa.exe) с параметром /uninstall в объединенном пакете не будет работать, так как объединенный пакет содержит SSU. После установки нельзя удалить SSU из системы.
Сведения о файлах
Чтобы получить список файлов, предоставляемых в этом обновлении, скачайте сведения о файлах для внеполосного обновления 5091157.
Чтобы получить список файлов, предоставляемых в обновлении стека обслуживания, скачайте сведения о файлах SSU (KB5082062) версии 26100.32692.
