12. mája 2026 – KB5087539(zostava OS 26100.32860)
Vzťahuje sa na
Dátum vydania:
12. 5. 2026
Verzia:
Zostava OS 26100.32860
Táto kumulatívna aktualizácia pre Windows Server 2025 (KB5087539) obsahuje najnovšie opravy a vylepšenia zabezpečenia spolu s aktualizáciami, ktoré sa netýkajú zabezpečenia, z voliteľného vydania verzie preview z minulého mesiaca. Ďalšie informácie o rozdieloch medzi aktualizáciami zabezpečenia, voliteľnými aktualizáciami uvádzacej zostavy netýkajúcimi sa zabezpečenia, aktualizáciami mimo pásma (OOB) a neustálymi inováciami nájdete v téme vysvetlenie mesačných aktualizácií systému Windows. Informácie o terminológii aktualizácií Windowsu nájdete v téme rôznych typov aktualizácií softvéru Windowsu.
Ak chcete zobraziť najnovšie aktualizácie týkajúce sa tohto vydania, navštívte tabuľu stavu vydania Windowsu alebo stránku histórie aktualizácií pre Windows Server 2025.
Oznamy a správy
Táto časť obsahuje kľúčové oznámenia týkajúce sa tohto vydania vrátane oznámení, denníkov zmien a oznámení o ukončení podpory.
Uplynutie platnosti certifikátu zabezpečeného spustenia Windowsu
Upozornenie: Platnosť certifikátov zabezpečeného spustenia, ktoré používajú väčšina zariadení s Windowsom, vyprší v júni 2026. To môže ovplyvniť schopnosť niektorých osobných a firemných zariadení bezpečne sa spúšťať, ak nebudú včas aktualizované. Aby ste sa vyhli prerušeniu, odporúčame si prečítať pokyny a vopred podniknúť kroky na aktualizáciu certifikátov. Podrobnosti a kroky prípravy nájdete v téme Vypršanie platnosti certifikátu zabezpečeného zavedenia systému Windows a aktualizácie certifikačnej autority a blog o playbooku Zabezpečeného spustenia systému Windows Server.
|
Zmeniť dátum |
Popis zmeny |
|
Júna 9, 2026 |
Aktualizované známe problémy: Pridané riešenie pre "Zariadenia s neodporúčanou konfiguráciou skupinovej politiky šifrovania BitLocker sa môžu vyžadovať na zadanie kľúča na obnovenie pre šifrovanie BitLocker". |
|
Môže 27, 2026 |
Aktualizované príkazy (reťazce MSU) v časti Katalóg. |
|
Môže 15, 2026 |
Pridanie aktualizácie služby Active Directory Certificate Services. |
|
Môže 13, 2026 |
Pridaná poznámka k vydaniu Zabezpečeného zavedenia systému: Táto aktualizácia pridáva nový priečinok SecureBoot v časti C:\Windowsv oprávnených zariadeniach. |
Vylepšenia
Táto aktualizácia zabezpečenia obsahuje opravy a vylepšenia kvality z KB5082063 (vydaná 14. apríla 2026) a KB5091157 (vydaná 19. apríla 2026). V nasledujúcom súhrne sú uvedené kľúčové problémy, ktoré rieši táto aktualizácia. K dispozícii sú aj nové funkcie. Tučný text v zátvorkách označuje položku alebo oblasť zmeny.
-
[Bezpečné spustenie]
-
Aktualizácie na zvýšenie kvality systému Windows obsahujú ďalšie údaje o zacielení zariadení s vysokou spoľahlivosťou, čím sa zvyšuje pokrytie zariadení, ktoré sú oprávnené automaticky prijímať nové certifikáty zabezpečeného spustenia. Zariadenia dostávajú nové certifikáty až po preukázaní dostatočného počtu signálov úspešnej aktualizácie, pričom sa udržiava kontrolované a postupné zavádzanie.
-
Táto aktualizácia pridáva nový priečinok SecureBootv časti C:\Windowsv oprávnených zariadeniach. Priečinok obsahuje vzorové skripty určené pre organizácie s IT odborníkmi, ktorí aktívne spravujú aktualizácie v rámci svojej flotily zariadení. Tieto skripty možno použiť na zisťovanie stavu aktualizácie certifikátu zabezpečeného zavedenia systému a automatizáciu nasadenia prostredníctvom mechanizmu bezpečného zavedenia v prostredí služby Active Directory. Ďalšie informácie nájdete v téme Vzorová príručka automatizácie zabezpečeného zavedenia systému E2E.
-
-
[Pripojenie] Táto aktualizácia zvyšuje spoľahlivosť oznámení protokolu SSDP (Simple Service Discovery Protocol) a pomáha zabrániť tomu, aby služba prestala reagovať.
-
[Letný čas (DST)] Táto aktualizácia podporuje zmenu letného času z roku 2023 pre Egyptskú arabskú republiku.
-
[Radiče domény] Táto aktualizácia zlepšuje výkon služby LSASS (Local Security Authority Subsystem Service) na radičoch domény, keď je povolený Microsoft Defender. Znižuje využitie procesora a pamäte počas sledovania udalostí pre kolekciu IDL_DRSGetNCChanges udalostí vo Windowse.
-
[Vzdialená pracovná plocha (známy problém)] Opravené: Táto aktualizácia rieši problém, ktorý ovplyvňuje dialógové okno s upozornením zabezpečenia Pripojenie vzdialenej pracovnej plochy. Dialógové okno sa mohlo vykresliť nesprávne v scenári s viacerými monitormi, keď monitory mali inú mierku nastavenú inak. Môže sa to vyskytnúť po inštalácii aktualizácie zabezpečenia z apríla 2026 (KB5082063). Ďalšie informácie nájdete v téme Pochopenie upozornení zabezpečenia pri otváraní súborov vzdialenej pracovnej plochy (RDP).
-
[Prihlásiť sa] Po inštalácii aktualizácie Windowsu vydanej 10. marca 2026 alebo neskôr môžu niektorí používatelia zaznamenať problém s prihlásením do aplikácií pomocou konta Microsoft. Aj v prípade, že zariadenie má fungujúce internetové pripojenie, počas prihlásenia sa zobrazí chyba "žiadny internet", ktorá zabraňuje v prístupe k službám a aplikáciám spoločnosti Microsoft, ako je napríklad Microsoft Teams.
-
[Active Directory Certificate Services] Táto aktualizácia pridáva podporu pre post-kvantové podpisy algoritmu digitálneho podpisu založeného na module mriežky (ML-DSA) v službách Active Directory Certificate Services (AD CS). Správcovia môžu nakonfigurovať nové certifikačné autority pomocou štandardu ML-DSA-44, ML-DSA-65 alebo ML-DSA-87 a vydávať kvantovo odolné certifikáty na podpisovanie kódu, protokol TLS (Transport Layer Security) a podpisovanie odpovede protokolu OCSP (Online Certificate Status Protocol).
Ak ste už nainštalovali predchádzajúce aktualizácie, vaše zariadenie stiahne a nainštaluje iba nové aktualizácie, ktoré sú súčasťou tohto balíka.
Ďalšie informácie o nedostatkoch zabezpečenia nájdete v Sprievodcovi aktualizáciou zabezpečenia a Aktualizácie zabezpečenia z mája 2026.
Windows Server 2025 aktualizácia zásobníka údržby (KB5089717) – 26100.32837
Táto aktualizácia obsahuje vylepšenia kvality pre servisný zásobník čo je súčasť, ktorá inštaluje aktualizácie systému Windows. Aktualizácie SSU zabezpečujú, že máte robustný a spoľahlivý servisný zásobník, aby vaše zariadenia mohli prijímať a inštalovať aktualizácie od spoločnosti Microsoft. Ďalšie informácie o aktualizáciách SSU nájdete v téme Zjednodušenie lokálneho nasadenia aktualizácií SSU.
Známe problémy v tejto aktualizácii
Príznak
V niektorých zariadeniach s neodporúčanou konfiguráciou skupinovej politiky šifrovania BitLocker sa môže po inštalácii tejto aktualizácie pri prvom reštarte vyžadovať zadanie kľúča na obnovenie pre šifrovanie BitLocker.
Tento problém sa týka iba obmedzeného počtu systémov, v ktorých sú splnené VŠETKY nasledujúce podmienky. Je nepravdepodobné, že by sa tieto podmienky našli v osobných zariadeniach, ktoré nespravujú IT oddelenia.
-
Šifrovanie BitLocker je na jednotke operačného systému povolené.
-
Skupinová politika Konfigurovať overovací profil platformy TPM pre natívne konfigurácie firmvéru UEFI je nastavená a PCR7 je zahrnuté v overovacom profile (alebo je ekvivalentný kľúč databázy Registry nastavený manuálne).
-
Systémové informácie (msinfo32.exe) uvádzajú väzbu stavu zabezpečeného zavedenia systému PCR7 ako väzbu Nie je možné.
-
Certifikát Windows UEFI CA 2023 je prítomný v databáze podpisov zabezpečeného zavedenia systému (DB) zariadenia, čo umožňuje nastavenie Správcu spustenia Windows s podpisom z roku 2023 ako predvoleného.
-
V zariadení ešte nie je spustený Správca spustenia Windows s podpisom z roku 2023.
V tomto scenári je kľúč na obnovenie pre šifrovanie BitLocker potrebné zadať iba raz – následné reštartovania nespustia obrazovku obnovenia šifrovania BitLocker, pokiaľ konfigurácia skupinovej politiky zostane nezmenená. Pomoc s vyhľadaním kľúča na obnovenie pre šifrovanie BitLocker nájdete v článku Vyhľadanie kľúča na obnovenie pre šifrovanie BitLocker.
Podnikom sa odporúča pred inštaláciou tejto aktualizácie auditovať skupinové politiky šifrovania BitLocker na explicitné zahrnutie PCR7 a skontrolovať stav väzby PCR7 pomocou msinfo32.exe. (Alternatívne riešenie nájdete nižšie.)
Alternatívne riešenie
Tento problém je vyriešený v KB5094125. Po inštalácii KB5094125 zariadenia s touto nekompatibilnou konfiguráciou skupinovej politiky nebudú môcť nainštalovať Správcu spustenia systému Windows podpísaného v roku 2023. Ak bolo vaše zariadenie ovplyvnené, pri inštalácii aktualizácií Windowsu sa v denníku systémových udalostí zobrazí ID udalosti 1032: "Správca spustenia aktualizácie Zabezpečeného zavedenia systému (2023) sa nepoužil z dôvodu známej nekompatibility s aktuálnou konfiguráciou šifrovania BitLocker."
Ak dostanete udalosť ID 1032, spoločnosť Microsoft dôrazne odporúča odstránenie konfigurácie skupinová politika pred inštaláciou aktualizácií, aby ste mohli nainštalovať Správcu spustenia Windows podpísaného v roku 2023 a naďalej dostávať najnovšie ochrany zabezpečeného spustenia.
Pred inštaláciou aktualizácie odstráňte konfiguráciu skupinovej politiky (odporúča sa)
-
Otvorte editor skupinových politík (gpedit.msc) alebo konzolu Group Policy Management Console.
-
Prejdite na: Konfigurácia počítača > Administratívne šablóny > Súčasti Windowsu > Šifrovanie jednotiek BitLocker > Jednotky operačného systému.
-
Nastavte položku Konfigurovať overovací profil platformy TPM pre natívne konfigurácie firmvéru UEFI na možnosť Nenakonfigurované.
-
Spustením nasledujúceho príkazu v ovplyvnených zariadeniach rozšírite zmeny politiky: gpupdate /force
-
Spustite nasledujúci príkaz na pozastavenie šifrovania BitLocker (ak je šifrovanie BitLocker povolené na jednotke C:): manage-bde-protectors-disable C:
-
Na obnovenie šifrovania BitLocker spustite nasledujúci príkaz (ak je šifrovanie BitLocker povolené na jednotke C:): manage-bde-protectors-enable C:
-
Týmto sa aktualizujú väzby šifrovania BitLocker na používanie predvoleného profilu PCR vybratého Windowsom.
Ak nechcete odstrániť túto konfiguráciu skupinová politika, môžete dočasným pozastavením šifrovania BitLocker a inštaláciou aktualizácie zabezpečeného zavedenia systému Windows nainštalovať nový Správcu spustenia systému Windows. Postupujte takto:
-
Spustite nasledujúci príkaz na pozastavenie šifrovania BitLocker (ak je šifrovanie BitLocker povolené na jednotke C:): manage-bde-protectors-disable C:
-
Spustite nasledujúci príkaz: Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"
-
Reštartujte zariadenie.
-
Po úspešnej inštalácii nového Správcu spustenia systému Windows povoľte šifrovanie BitLocker spustením príkazu: manage-bde-protectors-enable C:
Po inštalácii aktualizácie KB5070881 alebo novších aktualizácií služba Windows Server Update Services (WSUS) nezobrazuje podrobnosti o chybe synchronizácie v rámci hlásenia chýb. Táto funkcia je dočasne odstránená, aby sa vyriešila zraniteľnosť vzdialeného spustenia kódu CVE-2025-59287.
Ako získať túto aktualizáciu
Pred inštaláciou tejto aktualizácie
Spoločnosť Microsoft kombinuje najnovšiu aktualizáciu SSU (Servicing Stack Update) pre váš operačný systém s najnovšou kumulatívnou aktualizáciou (LCU). Všeobecné informácie o aktualizáciách SSU nájdete v téme Aktualizácie SSU.
Inštalovanie tejto aktualizácie
Ak chcete nainštalovať túto aktualizáciu, použite jeden z nasledujúcich kanálov vydaní Windowsu a spoločnosti Microsoft.
|
K dispozícii |
Ďalší krok |
|
|
|
Táto aktualizácia sa automaticky stiahne a nainštaluje zo služieb Windows Update a Microsoft Update. |
|
K dispozícii |
Ďalší krok |
|
|
Táto aktualizácia sa automaticky stiahne a nainštaluje zo služby Windows Update for Business v súlade s nakonfigurovanými politikami. |
|
K dispozícii |
Ďalší krok |
|||||
|
|
Ak chcete nainštalovať toto vydanie z katalógu služby Microsoft Update, postupujte podľa týchto pokynov:Pred inštaláciou tejto aktualizácie sú samostatné balíky pre túto aktualizáciu k dispozícii na webovej lokalite katalógu služby Microsoft Update . Táto aktualizácia KB obsahuje jeden alebo viacero súborov MSU, ktoré vyžadujú inštaláciu v špecifickom poradí. Túto aktualizáciu môžete nainštalovať pomocou spôsobu 1 (inštalácia všetkých súborov MSU spolu) alebo spôsobu 2 (inštalácia každého súboru MSU jednotlivo, v uvedenom poradí). Metóda 1: Inštalácia všetkých súborov MSU spolu Stiahnite si všetky súbory MSU pre KB5087539 z katalógu služby Microsoft Update a umiestnite ich do rovnakého priečinka (napríklad C:/Balíky). Pomocou Deployment Image Servicing and Management (DISM.exe) nainštalujte cieľovú aktualizáciu. DISM použije priečinok zadaný v PackagePath na zistenie a inštaláciu jedného alebo viacerých požadovaných súborov MSU podľa potreby. Aktualizácia PC s Windowsom Ak chcete túto aktualizáciu použiť v počítači s Windowsom, spustite nasledujúci príkaz z príkazového riadka bez obmedzených oprávnení:
Alebo spustite nasledujúci príkaz z riadka prostredia Windows PowerShell bez obmedzených oprávnení:
Alebo na inštaláciu cieľovej aktualizácie použite samostatný inštalátor služby Windows Update. Aktualizácia inštalačného média Windowsu Ak chcete túto aktualizáciu použiť na inštalačné médium Windowsu, pozrite si tému Aktualizácia inštalačného média Windowsu pomocou dynamickej aktualizácie. Poznámka: Pri sťahovaní iných balíkov dynamických aktualizácií skontrolujte, či zodpovedajú mesiacu ako táto aktualizácia. Ak dynamická aktualizácia SafeOS alebo dynamická aktualizácia nastavenia nie sú k dispozícii pre ten istý mesiac ako táto aktualizácia, použite najnovšiu publikovanú verziu každej z nich. Ak chcete pridať túto aktualizáciu do pripojeného obrazu, spustite nasledujúci príkaz z príkazového riadka bez obmedzených oprávnení:
Alebo spustite nasledujúci príkaz z riadka prostredia Windows PowerShell bez obmedzených oprávnení:
Postup 2: Inštalácia každého súboru MSU jednotlivo v uvedenom poradí Stiahnite a nainštalujte každý súbor MSU jednotlivo pomocou nástroja DISM alebo samostatného inštalátora služby Windows Update v tomto poradí:
|
|
K dispozícii |
Ďalší krok |
|
|
Táto aktualizácia sa automaticky synchronizuje so službou Windows Server Update Services (WSUS), ak nakonfigurujete produkty a klasifikácie takto: Produkt: Operačný systém servera spoločnosti Microsoft-24H2 Klasifikácia: Aktualizácie zabezpečenia |
Ak chcete odstrániť túto aktualizáciu
Skôr než sa rozhodnete odstrániť túto aktualizáciu, pozrite si tému Pochopenie rizík: Prečo by ste nemali odinštalovať aktualizácie zabezpečenia.
Ak chcete odstrániť LCU po inštalácii kombinovaného balíka SSU a LCU, použite možnosť príkazového riadka DISM/Remove-Package s názvom balíka LCU ako argumentom. Názov balíka zistíte pomocou tohto príkazu: DISM /online /get-packages.
Spustenie Windows Update samostatného inštalátora (wusa.exe) s prepínačom /uninstall v kombinovanom balíku nebude fungovať, pretože kombinovaný balík obsahuje SSU. Po inštalácii nie je možné odstrániť aktualizáciu SSU zo systému.
Informácie o súboroch
Ak máte záujem o zoznam súborov, ktoré sú súčasťou tejto aktualizácie, stiahnite si informácie o súboroch kumulatívnej aktualizácie 5087539.
Ak máte záujem o zoznam súborov, ktoré sú súčasťou aktualizácie SSU, stiahnite si informácie o súboroch SSU (KB5089717) – verzia 26100.32837.
Potrebujete ďalšiu pomoc?
Chcete ďalšie možnosti?
Môžete preskúmať výhody predplatného, prehľadávať školiace kurzy, naučiť sa zabezpečiť svoje zariadenie a ešte oveľa viac.
Komunity pomôžu s kladením otázok a odpovedaním na ne, s poskytovaním pripomienok a so získavaním informácií od odborníkov s bohatými znalosťami.
