Ta posodobitev zunaj pasu (OOB) za Windows Server 2025 (KB5091157) je zbirna posodobitev, ki ni varnostna.
Izboljšave
Ta posodobitev zunaj pasu vsebuje izboljšave kakovosti iz sistema KB5082063 (izdane 14. aprila 2026). V spodnjem povzetku so orisne ključne težave, ki jih odpravlja ta posodobitev zunaj pasu. Krepko besedilo v oklepajih označuje element ali območje spremembe.
-
[Krmilniki domene (znana težava)] Popravljeno: po namestitvi 14. aprila 2026, varnostni posodobitvi sistema Windows (KB5082063) in vnovičnem zagonu lahko pride do težav pri zagonu krmilnikov domene z gozdovi z več domenami, ki uporabljajo upravljanje privilegiranega dostopa (PAM). V nekaterih primerih se lahko storitev podsistema LSASS (Local Security Authority Subsystem Service) preneha odzivati, posledica tega pa je lahko ponovljeni vnovični zagon in preprečevanje preverjanja pristnosti in imeniških storitev, zaradi česar domena ni na voljo.
-
[Namestitev posodobitve sistema Windows] Popravljeno: manjše število naprav s sistemom Windows Server 2025 morda ne bo namestilo 14. aprila 2026, varnostne posodobitve sistema Windows (KB5082063). Ko pride do te težave, se lahko v prizadetih napravah prikaže eno od teh sporočil o napaki: »Napaka pri namestitvi: 0x800F0983« ali »Nekatere datoteke za posodabljanje manjkajo ali pa prihaja do težav. Posodobitev bomo poskusili znova prenesti pozneje. Koda napake: 0x80073712.«
Če ste namestili starejše posodobitve, naprava prenese in namesti le nove posodobitve iz tega paketa.
Opomba Posodobitev za hotpatch, včlanjene Windows Server 2025, na katere vpliva težava z namestitvijo sistema KB5082063, lahko to posodobitev OOB namesti za enako zaščito. Vendar pa boste za to morali znova zagnati napravo, posodobitve za hitri pregled pa se bodo nadaljevale šele po posodobitvi osnovnega načrta iz julija 2026.
Posodobitev servisnega sklada Windows Sever 2025 (KB5082062) -26100.32692
Ta posodobitev prinaša izboljšave kakovosti servisnega sklada, komponente, ki namesti posodobitve sistema Windows. Posodobitve servisnega sklada (SSU) zagotavljajo, da imate robusten in zanesljiv servisni sklad, tako da lahko vaše naprave prejemajo in nameščajo Microsoftove posodobitve. Če želite izvedeti več o posodobitvah SSU, glejte Poenostavitev uvajanja posodobitev servisnega sklada na mestu uporabe.
Znane težave v tej posodobitvi
Težava
Za vnos obnovitvenega ključa za BitLocker pri prvem vnovičnem zagonu po namestitvi te posodobitve pravilnik skupine nekatere naprave z nepreocenjeno konfiguracijo funkcije BitLocker morda ne bodo potrebne.
Ta težava vpliva le na omejeno število sistemov, v katerih so izpolnjeni vsi navedeni pogoji. Teh pogojev ni mogoče najti v osebnih napravah, ki jih ne upravljajo oddelki za IT.
-
BitLocker je omogočen na pogonu operacijskega sistema.
-
Konfiguriran je pravilnik skupine »Konfiguracija profila preverjanja veljavnosti platforme TPM za izvorne konfiguracije vdelane programske opreme vmesnika UEFI« in PCR7 je vključen v profil preverjanja veljavnosti (ali pa je ustrezni registrski ključ nastavljen ročno).
-
System Information (msinfo32.exe) reports Secure Boot State PCR7 Binding as "Not possible".
-
Potrdilo windows UEFI CA 2023 je na voljo v zbirki podatkov s podpisom za varni zagon naprave (DB), zato je naprava, ki izpolnjuje pogoje za upravitelja zagona sistema Windows, podpisanega s 2023- podpisom, privzeta.
-
V napravi se še ne izvaja upravitelj zagona sistema Windows, podpisan s 2023- podpisom.
V tem primeru je treba obnovitveni ključ za BitLocker vnesti le enkrat – nadaljnji ponovni zagoni ne sprožijo obnovitvenega zaslona za BitLocker, če konfiguracija pravilnika skupine ostane nespremenjena. Če želite pomoč pri iskanju obnovitvenega ključa za BitLocker, si oglejte članek Iskanje obnovitvenega ključa za BitLocker.
Podjetjem priporočamo, da pred namestitvijo te posodobitve nadzorajo svoje pravilnike skupine BitLocker za eksplicitno vključitev PCR7 in msinfo32.exe preverijo, ali je njihovo stanje vezave PCR7 zavezujoče. (Glejte 1. možnost spodaj.)
Rešitev
1. možnost: odstranite pravilnik skupine konfiguracijo pred namestitvijo posodobitve (priporočeno)
-
Odprite pravilnik skupine (gpedit.msc) ali konzolo pravilnik skupine Management Console.
-
Premaknite se do: Konfiguracija > skrbniških predlog > komponent windows > šifriranje pogona BitLocker > pogone operacijskega sistema.
-
»Konfigurirajte profil preverjanja veljavnosti platforme TPM za izvorne konfiguracije vdelane programske opreme vmesnika UEFI« na »Ni konfigurirano«.
-
Zaženite ta ukaz v prizadetih napravah, da razširite spremembo pravilnika: gpupdate /force
-
Zaženite ta ukaz, da začasno onemogočite BitLocker (kjer je BitLocker omogočen na pogonu C:): manage-bde -protectors -disable C:
-
Zaženite ta ukaz za nadaljevanje funkcije BitLocker (kjer je BitLocker omogočen na pogonu C:): manage-bde -protectors -enable C:
-
S tem se posodobijo vezave BitLocker za uporabo privzetega profila PCR, ki ga izbere Windows.
2. možnost: Uporabite povrnitev znane težave (KIR) pred namestitvijo posodobitve
Povrnitev znanih težav (KIR) je na voljo za uporabnike, ki pred uvedbo te posodobitve ne morejo odstraniti pravilnika skupine PCR7. KIR prepreči samodejno preklop na upravitelja zagona 2023 in se izogne sprožilcu obnovitve BitLocker. KIR je treba uvesti pred namestitvijo posodobitve v prizadete naprave. Če želite pridobiti ta KIR, se obrnite na Microsoftovo podporo za podjetja.
Trajna rešitev za to težavo je načrtovana v prihodnji posodobitvi sistema Windows. Več informacij bo na voljo, ko bodo na voljo.
Ko namestite posodobitev KB5070881 ali novejše posodobitve, WSUS ne prikaže podrobnosti o napakah pri sinhronizaciji v svojem poročanju o napakah. Ta funkcija je začasno odstranjena zaradi odpravljanje ranljivosti oddaljenega izvajanja kode CVE-2025-59287.
Kako pridobiti to posodobitev
Pred namestitvijo te posodobitve
Microsoft zdaj združuje najnovejšo posodobitev servisnega sklada (SSU) za vaš operacijski sistem z najnovejšo zbirno posodobitvijo (LCU). Če želite splošne informacije o posodobitvah SSU, glejte Posodobitve servisnega sklada.
Namestitev te posodobitve
Če želite namestiti to posodobitev, uporabite enega od teh izdajnih kanalov sistema Windows in Microsofta.
|
Na voljo |
Naslednji korak |
|
|
Oglejte si druge možnosti. |
|
Na voljo |
Naslednji korak |
|
|
Oglejte si druge možnosti. |
|
Na voljo |
Naslednji korak |
|||||
|
|
Če želite namestiti to izdajo iz Kataloga Microsoft Update, upoštevajte ta navodila: Preden namestite to posodobitev, obiščite spletno mesto Katalog Microsoft Update in namestite samostojne pakete za to posodobitev. Ta KB vsebuje eno ali več datotek MSU, ki zahtevajo namestitev v določenem vrstnem redu. To posodobitev lahko namestite z 1. načinom (namestite vse datoteke MSU skupaj) ali 2. način (po vrstnem redu namestite vsako posamezno datoteko MSU). 1. način: namestite vse datoteke MSU skupaj Prenesite vse datoteke MSU za KB5091157 iz Kataloga Microsoft Update in jih shranite v isto mapo (na primer C:/Packages). Ciljno posodobitev namestite s storitvijo za servisiranje in DISM.exe (Deployment Image Servicing and Management). DISM uporabi mapo, določeno v PackagePathu, za odkrivanje in namestitev ene ali več zahtevanih datotek MSU po potrebi. Posodabljanje računalnika s sistemom Windows Če želite to posodobitev uporabiti v računalniku s sistemom Windows, zaženite naslednji ukaz v ukaznem pozivu na skrbniški ravni:
Ali pa v skrbniškem pozivu zaženite Windows PowerShell ukaz:
Ali pa Windows Update s samostojnim namestitvenim programom namestite ciljno posodobitev. Posodabljanje namestitvenega medija sistema Windows Če želite to posodobitev uporabiti za namestitveni medij za Windows, glejte Posodobitev namestitvenega medija za Windows z dinamično posodobitvijo. Opomba: Pri prenosu drugih paketov dinamičnih posodobitev se prepričajte, da se ujemajo z istim mesecem kot ta posodobitev KB. Če dinamična posodobitev v sistemu SafeOS ali dinamična posodobitev namestitve ni na voljo za isti mesec kot ta posodobitev KB, uporabite najnovejšo objavljeno različico posamezne posodobitve. Če želite to posodobitev dodati vpeti sliki, zaženite ta ukaz v ukaznem pozivu na skrbniški ravni:
Ali pa v skrbniškem pozivu zaženite Windows PowerShell ukaz:
2. način: namestite posamezno datoteko MSU po vrstnem redu Prenesite in namestite vsako datoteko MSU posamezno s funkcijo DISM ali Windows Update in samostojnim namestitvenim programom v tem vrstnem redu:
|
|
Na voljo |
Naslednji korak |
|
|
Oglejte si druge možnosti. |
Če želite odstraniti to posodobitev
Pozor: Preden se odločite za odstranitev te posodobitve, glejte Razumevanje tveganj: Zakaj ne odstranite varnostnih posodobitev.
Če želite to posodobitev odstraniti po namestitvi združenega paketa SSU in LCU, uporabite možnost ukazne vrstice DISM/Remove-Package z imenom paketa LCU kot argument. Ime paketa najdete s tem ukazom: DISM /online /get-packages.
Izvajanje Windows Update namestitvenega programa (wusa.exe) s stikalom /uninstall na kombiniranem paketu ne bo delovalo, ker kombinirani paket vsebuje SSU. Po namestitvi SSU ne morete odstraniti iz sistema.
Informacije o datotekah
Če si želite ogledati seznam datotek, vključenih v to posodobitev, prenesite informacije o datotekah za posodobitev zunaj pasu 5091157.
Če si želite ogledati seznam datotek, vključenih v posodobitev servisnega sklada, prenesite informacije o datotekah za SSU (KB5082062) – različica 26100.32692.
