12. maj 2026 – KB5087539 (graditev operacijskega sistema 26100.32860)
Velja za
Datum izdaje:
12. 05. 2026
Različico:
Graditev sistema 26100.32860
Ta zbirna posodobitev za Windows Server 2025 (KB5087539) vključuje najnovejše varnostne popravke in izboljšave, skupaj z nevarnostnimi posodobitvami iz izbirne predogledne izdaje prejšnjega meseca. Če želite izvedeti več o razlikah med varnostnimi posodobitvami, izbirnimi predoglednimi posodobitvami, ki niso varnostne, posodobitvami zunaj pasu (OOB) in neprekinjenimi inovacijami, glejte razlago mesečnih posodobitev sistema Windows. Za več informacij o terminologiji za posodobitev sistema Windows si oglejte različne vrste posodobitev programske opreme Windows.
Če si želite ogledati najnovejše posodobitve o tej izdaji, obiščite nadzorno ploščo za stanje izdaje sistema Windows ali stran zgodovine posodobitev za Windows Server 2025.
Objave in sporočila
V tem razdelku so ključna obvestila, povezana s to izdajo, vključno z objavami, dnevniki sprememb in obvestili o koncu podpore.
Potek potrdila za varni zagon sistema Windows
Pomembno je: Potrdila za varni zagon, ki jih uporablja večina naprav s sistemom Windows, bodo začela potekati junija 2026. To lahko vpliva na zmožnost varnega zagona nekaterih osebnih in poslovnih naprav, če ne bodo pravočasno posodobljene. Da bi se izognili motnjam, priporočamo, da vnaprej pregledate navodila in ukrepate za posodobitev potrdil. Za podrobnosti in korake priprave glejte potek potrdila za varni zagon sistema Windows in posodobitve overitelja digitalnih potrdil in spletni dnevnik o varnem zagonu sistema Windows Server.
|
Spremenite datum |
Opis spremembe |
|
9. junij 2026 |
Znane težave so posodobljene: dodana rešitev za »Naprave z nepriporočeno konfiguracijo pravilnik skupine BitLocker bodo morda morale vnesti obnovitveni ključ za BitLocker«. |
|
27. maja 2026 |
Posodobljeni ukazi (nizi MSU) v razdelku »Katalog«. |
|
15 maja, 2026 |
Dodali smo posodobitev storitev potrdil Active Directory. |
|
13 maja, 2026 |
Dodana opomba ob izdaji varnega zagona: Ta posodobitev doda novo mapo SecureBoot pod C:\Windowsv upravičenih napravah. |
Izboljšave
Ta varnostna posodobitev vsebuje popravke in izboljšave kakovosti iz KB5082063 (izdana 14. aprila 2026) in KB5091157 (izdana 19. aprila 2026). V tem povzetku so opisane ključne težave, ki jih odpravlja ta posodobitev. Vključene so tudi nove funkcije. Krepko besedilo v oklepajih označuje element ali območje spremembe.
-
[Varni zagon]
-
S to posodobitvijo posodobitve kakovosti sistema Windows vključujejo dodatne visoko zanesljive podatke za ciljanje naprav, s čimer se povečuje pokritost naprav, ki so upravičene do samodejnega prejemanja novih potrdil za varni zagon. Naprave nova potrdila prejmejo šele, ko dokažejo dovolj signalov uspešne posodobitve ter ohranijo nadzorovano in postopno uvajanje.
-
Ta posodobitev doda novo mapo SecureBootpod C:\Windowsv upravičenih napravah. Mapa vsebuje vzorčne skripte, namenjene organizacijam s strokovnjaki za IT, ki aktivno upravljajo posodobitve v celotni floti naprav. S temi skripti je mogoče zaznati stanje posodobitve potrdila za varni zagon in avtomatizirati uvajanje prek varnega mehanizma za uvajanje v okolju imenika Active Directory. Če želite več informacij, glejte vzorčni vodnik za avtomatizacijo varnega zagona E2E.
-
-
[Povezljivost] Ta posodobitev izboljša zanesljivost obvestil protokola SSDP (Simple Service Discovery Protocol) in tako prepreči neodzivnost storitve.
-
[poletni čas (DST)] Ta posodobitev podpira spremembo poletnega časa leta 2023 za Arabsko republiko Egipt.
-
[Krmilniki domene] Ta posodobitev izboljša učinkovitost delovanja storitve podsistema LSASS v krmilnikih domene, ko je omogočen Microsoft Defender. Zmanjšuje uporabo CPE-ja in pomnilnika med zbirko IDL_DRSGetNCChanges dogodkov sledenja dogodkom za Windows.
-
[Oddaljeno namizje (znana težava)] Popravljeno: ta posodobitev odpravi težavo, ki vpliva na pogovorno okno varnostnega opozorila povezave z oddaljenim namizjem. Pogovorno okno se lahko nepravilno upodobi v scenariju z več monitorji, če so imeli monitorji drugačen nabor velikosti. Do tega lahko pride po namestitvi varnostne posodobitve iz aprila 2026 (KB5082063). Če želite več informacij, glejte Razumevanje varnostnih opozoril pri odpiranju datotek oddaljenega namizja (RDP).
-
[Vpis] Ko namestite posodobitev sistema Windows, izdano 10. marca 2026 ali pozneje, lahko pri nekaterih uporabnikih pride do težav pri vpisovanju v aplikacije z Microsoftovim računom. Tudi če ima naprava delujočo internetno povezavo, se pri vpisu prikaže napaka »ni interneta«, ki preprečuje dostop do Microsoftovih storitev in aplikacij, kot je Microsoft Teams.
-
[Active Directory Certificate Services] Ta posodobitev doda podporo za postkvantne podpise algoritma ML-DSA (Module-Lattice) v storitev AD CS (Active Directory Certificate Services). Skrbniki lahko konfigurirajo nove overitelje potrdil z dovoljenji ML-DSA-44, ML-DSA-65 ali ML-DSA-87 in izdajo kvantno odporna potrdila za podpisovanje kod, varnost na prenosni plasti (TLS) in podpisovanje odzivov protokola preverjanja stanja potrdil v realnem času (OCSP).
Če ste že namestili predhodne posodobitve, bo vaša naprava prenesla in namestila le nove posodobitve, ki so vključene v ta paket.
Če želite več informacij o varnostnih ranljivostih, glejte Vodnik po varnostnih posodobitvah in varnostne Posodobitve za maj 2026.
Windows Server 2025 – posodobitev servisnega sklada (KB5089717) – 26100.32837
Ta posodobitev prinaša izboljšave kakovosti servisnega sklada, komponente, ki namesti posodobitve sistema Windows. Posodobitve servisnega sklada (SSU) zagotavljajo stabilen in zanesljiv servisni sklad, da lahko vaše naprave prejemajo in nameščajo Microsoftove posodobitve. Če želite več informacij o posodobitvah SSU, glejte Poenostavitev uvajanja posodobitev servisnega sklada na mestu uporabe.
Znane težave v tej posodobitvi
Težava
Pri nekaterih napravah z nepriporočeno konfiguracijo pravilnika skupine BitLocker bo morda ob prvem ponovnem zagonu po namestitvi te posodobitve treba vnesti obnovitveni ključ za BitLocker.
Ta težava vpliva le na omejeno število sistemov, v katerih veljajo VSI spodnji pogoji. Malo verjetno je, da bi te pogoje našli v osebnih napravah, ki jih ne upravljajo oddelki za IT.
-
BitLocker je omogočen na pogonu operacijskega sistema.
-
Pravilnik skupine »Konfiguracija profila preverjanja veljavnosti platforme TPM za izvorne konfiguracije vdelane programske opreme UEFI« je konfiguriran, PCR7 pa je vključen v profil preverjanja veljavnosti (ali pa je ustrezni registrski ključ nastavljen ročno).
-
Informacije o sistemu (msinfo32.exe)poročajo, da je stanje varnega zagona vezave PCR7t »Ni mogoče«.
-
Potrdilo Windows UEFI CA 2023 je prisotno v zbirki podatkov podpisov varnega zagona (DB) naprave, zaradi česar je naprava upravičena, da se upravitelj zagona sistema Windows, podpisan leta 2023, določi za privzetega.
-
Naprava še ne izvaja upravitelja zagona sistema Windows, podpisanega leta 2023.
V tem scenariju je treba obnovitveni ključ za BitLocker vnesti le enkrat – nadaljnji vnovični zagoni ne bodo sprožili obnovitvenega zaslona za BitLocker, dokler konfiguracija pravilnika skupine ostane nespremenjena. Če potrebujete pomoč pri iskanju obnovitvenega ključa za BitLocker, glejte članek Iskanje obnovitvenega ključa za BitLocker.
Podjetjem priporočamo, da pred namestitvijo te posodobitve pregledajo pravilnike skupine BitLocker glede izrecne vključitve PCR7 in v programu msinfo32.exe preverijo stanje vezave PCR7. (Glejte nadomestno rešitev spodaj.)
Rešitev
Ta težava je odpravljena v KB5094125. Po namestitvi KB5094125 naprave s to nezdružljivo konfiguracijo pravilnika skupine ne morejo namestiti upravitelja zagona sistema Windows, ki je podpisan 2023. Če je to vplivalo na vašo napravo, se bo pri namestitvi posodobitev sistema v dnevniku dogodkov sistema prikazal ID dogodka 1032: »Upravitelj zagona posodobitve varnega zagona (2023) ni bil uporabljen zaradi znane nezdružljivosti s trenutno konfiguracijo BitLocker.«
Če prejmete ID dogodka 1032, Microsoft priporoča, da pred namestitvijo posodobitev odstranite konfiguracijo pravilnik skupine, tako da lahko namestite Upravitelja zagona sistema Windows, podpisanega v letu 2023, in še naprej prejemate najnovejše zaščite varnega zagona.
Odstranite konfiguracijo pravilnik skupine pred namestitvijo posodobitve (priporočeno)
-
Odprite urejevalnik pravilnika skupine (gpedit.msc) ali konzolo za upravljanje pravilnika skupin.
-
Pomaknite se na: Konfiguracija računalnika > Skrbniške predloge > Komponente sistema Windows > Šifriranje pogona BitLocker > Pogoni operacijskega sistema.
-
Nastavite »Konfiguracija profila preverjanja veljavnosti platforme TPM za izvorne konfiguracije vdelane programske opreme UEFI« na »Ni konfigurirano«.
-
Na prizadetih napravah za uveljavitev spremembe pravilnika zaženite naslednji ukaz: gpupdate /force
-
Zaženite ta ukaz, da začasno onemogočite BitLocker (če je BitLocker omogočen na pogonu C:): manage-bde -protectors -disable C:
-
Če želite znova vklopiti BitLocker (če je BitLocker omogočen na pogonu C:), zaženite naslednji ukaz): manage-bde -protectors -enable C:
-
S tem posodobite vezi BitLocker tako, da uporabljajo privzeti profil PCR, ki ga je izbral Windows.
Če ne želite odstraniti te konfiguracije pravilnik skupine, lahko namestite novega Upravitelja zagona sistema Windows tako, da začasno onemogočite BitLocker in namestite posodobitev varnega zagona. To storite tako:
-
Zaženite ta ukaz, da začasno onemogočite BitLocker (če je BitLocker omogočen na pogonu C:): manage-bde -protectors -disable C:
-
Zaženite ta ukaz: Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"
-
Znova zaženite napravo.
-
Ko je novi Upravitelj zagona sistema Windows uspešno nameščen, omogočite BitLocker z zagonom ukaza: manage-bde -protectors -enable C:
Ko namestite posodobitev KB5070881 ali novejše posodobitve, WSUS ne prikaže podrobnosti o napakah pri sinhronizaciji v svojem poročanju o napakah. Ta funkcija je začasno odstranjena zaradi odpravljanje ranljivosti oddaljenega izvajanja kode CVE-2025-59287.
Kako pridobiti to posodobitev
Preden namestite to posodobitev
Microsoft združuje najnovejšo posodobitev servisnega sklada (SSU) za vaš operacijski sistem z najnovejšo zbirno posodobitvijo (LCU). Za splošne informacije o posodobitvah SSU glejte posodobitve servisnega sklada.
Namestitev te posodobitve
Če želite namestiti to posodobitev, uporabite enega od teh kanalov za izdajo sistema Windows in Microsofta.
|
Na voljo |
Naslednji korak |
|
|
|
Ta posodobitev se samodejno prenese in namesti iz storitev Windows Update in Microsoft Update. |
|
Na voljo |
Naslednji korak |
|
|
Ta posodobitev se samodejno prenese in namesti iz storitve Windows Update za podjetja v skladu s konfiguriranimi pravilniki. |
|
Na voljo |
Naslednji korak |
|||||
|
|
Če želite namestiti to izdajo iz kataloga Microsoft Update, sledite tem navodilom:Preden namestite to posodobitev, so samostojni paketi za to posodobitev na voljo na spletnem mestu kataloga Microsoft Update . Ta zbirka znanja vsebuje eno ali več datotek MSU, ki jih je treba namestiti v določenem vrstnem redu. To posodobitev lahko namestite s 1. načinom (namestite vse datoteke MSU skupaj) ali 2. načinom (namestite vsako datoteko MSU posebej, po vrstnem redu). 1. način: Namestite vse datoteke MSU skupaj Prenesite vse datoteke MSU za KB5087539 iz kataloga Microsoft Update in jih postavite v isto mapo (na primer C:/Paketi). Uporabite servisiranje in upravljanje posnetkov uvajanja (DISM.exe), da namestite ciljno posodobitev. DISM bo uporabil mapo, določeno v PackagePath , da po potrebi odkrije in namesti eno ali več zahtevanih datotek MSU. Posodabljanje računalnika s sistemom Windows Če želite to posodobitev uporabiti v računalniku s sistemom Windows, v katerem se izvaja, zaženite ta ukaz iz ukaznega poziva s skrbniško skrbnijo:
Ali pa zaženite ta ukaz iz poziva Windows PowerShell s skrbniškimi ravni:
Ali pa uporabite samostojni namestitveni program za Windows Update, da namestite ciljno posodobitev. Posodabljanje namestitvenega medija sistema Windows Če želite to posodobitev uporabiti za namestitveni medij sistema Windows, glejte Posodobitev namestitvenega medija sistema Windows z dinamično posodobitvijo. Opomba: Ko prenašate druge pakete dinamičnega posodabljanja, se prepričajte, da se ujemajo z istim mesecem kot ta zbirka znanja. Če dinamična posodobitev sistema SafeOS ali dinamična posodobitev za namestitev ni na voljo za isti mesec kot ta zbirka znanja, uporabite najnovejšo objavljeno različico obeh zbirk. Če želite to posodobitev dodati nameščeni posnetek, zaženite ta ukaz iz ukaznega poziva s skrbniškimi ravni:
Ali pa zaženite ta ukaz iz poziva Windows PowerShell s skrbniškimi ravni:
2. način: Namestite vsako datoteko MSU posebej, po vrstnem redu Prenesite in namestite vsako datoteko MSU posebej, bodisi z DISM ali samostojnim namestitvenim programom Windows Update v naslednjem vrstnem redu:
|
|
Na voljo |
Naslednji korak |
|
|
Ta posodobitev se samodejno sinhronizira s storitvami Windows Server Update Services (WSUS), če konfigurirate izdelke in klasifikacije na naslednji način: Izdelek: operacijski sistem Microsoft Server-24H2 Klasifikacija: varnostne posodobitve |
Če želite odstraniti to posodobitev
Preden se odločite odstraniti to posodobitev, glejte Razumevanje tveganj: zakaj ne smete odstraniti varnostnih posodobitev.
Če želite odstraniti LCU po namestitvi kombiniranega paketa SSU in LCU, uporabite možnost ukazne vrstice DISM/Remove-Package z imenom paketa LCU kot argumentom. Ime paketa lahko najdete s tem ukazom: DISM /online /get-packages.
Zagon samostojnega namestitvenega programa Windows Update (wusa.exe) s stikalom /uninstall na kombiniranem paketu ne bo deloval, ker kombinirani paket vsebuje SSU. SSU po namestitvi ne morete odstraniti iz sistema.
Informacije o datotekah
Če si želite ogledati seznam datotek, vključenih v to posodobitev, prenesite informacije o datotekah za zbirno 5087539 posodobitev.
Če si želite ogledati seznam datotek, vključenih v posodobitev servisnega sklada, prenesite informacije o datotekah za SSU (KB5089717) – različica 26100.32837.
Ali potrebujete dodatno pomoč?
Ali želite več možnosti?
Raziščite ugodnosti naročnine, prebrskajte izobraževalne tečaje, preberite, kako zaščitite svojo napravo in še več.
Skupnosti vam pomagajo postaviti vprašanja in odgovoriti nanje, posredovati povratne informacije in prisluhniti strokovnjakom z bogatim znanjem.
