Isticanje sertifikata za Windows Secure Boot
Važno: Certifikati za bezbedno pokretanje koje koristi većina Windows uređaja ističu počev od juna 2026. To može da utiče na mogućnost određenih ličnih i poslovnih uređaja da se bezbedno pokrenu ako se ne ažuriraju na vreme. Da biste izbegli prekid, preporučujemo da pregledate uputstva i preduzmete akciju za ažuriranje certifikata unapred.
Detalje i korake za pripremu za Windows uređaje potražite u člankuistek certifikata za bezbedno pokretanje operativnog sistema Windows i CA ispravke.
Detalje i korake za pripremu za Windows servere potražite u sledećim resursima:
Rezime
Ovaj članak navodi bezbednosne probleme i poboljšanja kvaliteta uključene u ovu kumulativnu bezbednosnu ispravku.
Odnosi se na: Windows 10 ESU
Važno: Koristite EKB KB5015684 da biste ažurirali Windows 10 verziju 22H2.
Ova bezbednosna ispravka obuhvata ispravke i poboljšanja kvaliteta koja su deo sledećih ispravki:
Sledi rezime problema na koje ova ispravka rešava kada instalirate ovu ispravku. Ako postoje nove funkcije, ona ih navodi i. Podebljani tekst unutar zagrada ukazuje na stavku ili oblast promene koju dokumentovanjemo.
-
[Bezbednosna upozorenja udaljene radne površine (poznati problem)] Fiksno: Dijalog bezbednosnog upozorenja "Veza sa udaljenom radnom površinom" može neispravno da se prikaže u konfiguracijama više monitora sa različitim postavkama podešavanja razmere prikaza. Do ovog problema može doći nakon instaliranja Windows bezbednosne ispravke objavljene 14. aprila 2026. (KB5082200).
-
[Bezbedno pokretanje]
-
Ova ispravka omogućava dinamičko izveštavanje o statusu za stanja bezbednog pokretanja u Windows bezbednost aplikaciji.
-
Uz ovu ispravku, ispravke za kvalitet operativnog sistema Windows uključuju dodatne uređaje sa visokim stepenom pouzdanosti koji ciljaju podatke, povećavajući pokrivenost uređaja koji ispunjavaju uslove za automatsko primanje novih certifikata za bezbedno pokretanje sistema. Uređaji dobijaju nove certifikate tek nakon što prikazuju dovoljno uspešne signale za ažuriranje, održavajući kontrolisanu i faznu primenu.
-
-
[Zimsko računanje vremena] Ispravka za Arapsku Republiku Egipat da podrži vladin DST promene u 2023.
Ako ste instalirali starije ispravke, na uređaju će biti preuzete i instalirane samo nove ispravke sadržane u ovom paketu.
Više informacija o bezbednosnim ranjivostima potražite na novoj veb lokaciji Vodič za bezbednosne ispravke i na veb lokaciji "Vodič za bezbednosne Novosti.
Informacije o windows terminologiji ažuriranja potražite u članku o tipovima ispravki za Windows i tipovima mesečnih kvalitativnih ispravki. Pregled verzije Windows 10 22H2 potražite na stranici istorije ažuriranja.
Poznati problemi u ovoj ispravki
-
Uređaji sa nepotpunim BitLocker konfiguracijom Smernice grupe biti neophodni za unos BitLocker ključa za oporavak Simptome
Neki uređaji sa nepreporučenim konfigurisanjem smernica grupe za BitLocker će možda morati da unesu svoj BitLocker ključ za oporavak pri prvom ponovnom pokretanju nakon instaliranja ove ispravke.
Ovaj problem utiče samo na ograničen broj sistema u kojima su ispunjeni SVI sledeći uslovi. Malo je verovatno da će se ovi uslovi pronaći na ličnim uređajima kojima ne upravljaju sektori informatičkog odeljenja.
-
BitLocker je omogućen na disk jedinici operativnog sistema.
-
Smernice grupe „Konfigurisanje profila provere valjanosti TPM platforme za osnovne konfiguracije UEFI firmvera“ su konfigurisane, a PCR7 je uključen u profil za proveru valjanosti (ili je ekvivalentni ključ registra podešen ručno).
-
Informacije o sistemu (msinfo32.exe) izveštavaju o povezivanju stanja bezbednog pokretanja PCR7 kao „Nije moguće“.
-
Windows UEFI CA 2023 certifikat je prisutan u bazi podataka (DB) potpisa za bezbedno pokretanje uređaja, čime uređaj ispunjava uslove da Windows upravljač pokretanjem koji je potpisan 2023. postane podrazumevan.
-
Uređaj već ne koristi Windows upravljač pokretanjem potpisan 2023. godine.
U ovom scenariju BitLocker ključ za oporavak treba uneti samo jednom -- naredna ponovna pokretanja neće aktivirati BitLocker ekran za oporavak, sve dok konfiguracija smernica grupe ostane nepromenjena. Za pomoć u pronalaženju vašeg BitLocker ključa za oporavak, pogledajte članak „Pronađite svoj BitLocker ključ za oporavak”.
Preduzećima se preporučuje da nadziru BitLocker smernice grupe radi eksplicitnog PCR7 uključеnja i proveru statusa msinfo32.exe povezivanja za PCR7 pre nego što instaliraju ovu ispravku.
Rešenje
Radimo na rešavanju problema i pružićemo više informacija kada budu dostupne.
Da biste privremeno zaobišli ovaj problem, uklonite konfigurisanje smernica grupe pre instaliranja ispravke (preporučuje se)
-
Otvorite uređivač smernica grupe (gpedit.msc) ili alatku Group Policy Management Console.
-
Idite na stavke: Konfiguracija računara > Administratorski predlošci > Windows komponente > BitLocker šifrovanje disk jedinice > Disk jedinice operativnog sistema.
-
Postavite vrednost „Konfiguriši profil provere valjanosti TPM platforme za izvorne konfiguracije UEFI firmvera“ na „Nije konfigurisano“.
-
Pokrenite sledeću komandu na uređajima na koje ovo utiče da biste preneli promenu smernica: gpupdate /force
-
Pokrenite sledeću komandu da biste obustavili BitLocker (gde je BitLocker omogućen na C: disk jedinici): manage-bde -protectors -disable C:
-
Pokrenite sledeću komandu da biste nastavili BitLocker (gde je BitLocker omogućen na disk jedinici C:): manage-bde -protectors -enable C:
-
Ovo ažurira BitLocker povezivanja tako da koriste podrazumevani PCR profil koji bira Windows.
-
Odnosi se na: Windows 10 Enterprise LTSC 2021 i Windows 10 IoT Enterprise LTSC 2021
Važno: Koristite EKB KB5003791 da biste ažurirali Windows 10 verziju 21H2 na podržanim izdanjima.
Ova bezbednosna ispravka obuhvata ispravke i poboljšanja kvaliteta koja su deo sledećih ispravki:
Sledi rezime problema na koje ova ispravka rešava kada instalirate ovu ispravku. Ako postoje nove funkcije, ona ih navodi i. Podebljani tekst unutar zagrada ukazuje na stavku ili oblast promene koju dokumentovanjemo.
-
[Bezbednosna upozorenja udaljene radne površine (poznati problem)] Fiksno: Dijalog bezbednosnog upozorenja "Veza sa udaljenom radnom površinom" može neispravno da se prikaže u konfiguracijama više monitora sa različitim postavkama podešavanja razmere prikaza. Do ovog problema može doći nakon instaliranja Windows bezbednosne ispravke objavljene 14. aprila 2026. (KB5082200).
-
[Bezbedno pokretanje]
-
Ova ispravka omogućava dinamičko izveštavanje o statusu za stanja bezbednog pokretanja u Windows bezbednost aplikaciji.
-
Uz ovu ispravku, ispravke za kvalitet operativnog sistema Windows uključuju dodatne uređaje sa visokim stepenom pouzdanosti koji ciljaju podatke, povećavajući pokrivenost uređaja koji ispunjavaju uslove za automatsko primanje novih certifikata za bezbedno pokretanje sistema. Uređaji dobijaju nove certifikate tek nakon što prikazuju dovoljno uspešne signale za ažuriranje, održavajući kontrolisanu i faznu primenu.
-
-
[Zimsko računanje vremena] Ispravka za Arapsku Republiku Egipat da podrži vladin DST promene u 2023.
Ako ste instalirali starije ispravke, na uređaju će biti preuzete i instalirane samo nove ispravke sadržane u ovom paketu.
Više informacija o bezbednosnim ranjivostima potražite na novoj veb lokaciji Vodič za bezbednosne ispravke i na veb lokaciji "Vodič za bezbednosne Novosti.
Informacije o windows terminologiji ažuriranja potražite u članku o tipovima ispravki za Windows i tipovima mesečnih kvalitativnih ispravki. Pregled verzije Windows 10 22H2 potražite na stranici istorije ažuriranja.
Poznati problemi u ovoj ispravki
-
Uređaji sa nepotpunim BitLocker konfiguracijom Smernice grupe biti neophodni za unos BitLocker ključa za oporavak Simptome
Neki uređaji sa nepreporučenim konfigurisanjem smernica grupe za BitLocker će možda morati da unesu svoj BitLocker ključ za oporavak pri prvom ponovnom pokretanju nakon instaliranja ove ispravke.
Ovaj problem utiče samo na ograničen broj sistema u kojima su ispunjeni SVI sledeći uslovi. Malo je verovatno da će se ovi uslovi pronaći na ličnim uređajima kojima ne upravljaju sektori informatičkog odeljenja.
-
BitLocker je omogućen na disk jedinici operativnog sistema.
-
Smernice grupe „Konfigurisanje profila provere valjanosti TPM platforme za osnovne konfiguracije UEFI firmvera“ su konfigurisane, a PCR7 je uključen u profil za proveru valjanosti (ili je ekvivalentni ključ registra podešen ručno).
-
Informacije o sistemu (msinfo32.exe) izveštavaju o povezivanju stanja bezbednog pokretanja PCR7 kao „Nije moguće“.
-
Windows UEFI CA 2023 certifikat je prisutan u bazi podataka (DB) potpisa za bezbedno pokretanje uređaja, čime uređaj ispunjava uslove da Windows upravljač pokretanjem koji je potpisan 2023. postane podrazumevan.
-
Uređaj već ne koristi Windows upravljač pokretanjem potpisan 2023. godine.
U ovom scenariju BitLocker ključ za oporavak treba uneti samo jednom -- naredna ponovna pokretanja neće aktivirati BitLocker ekran za oporavak, sve dok konfiguracija smernica grupe ostane nepromenjena. Za pomoć u pronalaženju vašeg BitLocker ključa za oporavak, pogledajte članak „Pronađite svoj BitLocker ključ za oporavak”.
Preduzećima se preporučuje da nadziru BitLocker smernice grupe radi eksplicitnog PCR7 uključеnja i proveru statusa msinfo32.exe povezivanja za PCR7 pre nego što instaliraju ovu ispravku.
Rešenje
Radimo na rešavanju problema i pružićemo više informacija kada budu dostupne.
Da biste privremeno zaobišli ovaj problem, uklonite konfigurisanje smernica grupe pre instaliranja ispravke (preporučuje se)
-
Otvorite uređivač smernica grupe (gpedit.msc) ili alatku Group Policy Management Console.
-
Idite na stavke: Konfiguracija računara > Administratorski predlošci > Windows komponente > BitLocker šifrovanje disk jedinice > Disk jedinice operativnog sistema.
-
Postavite vrednost „Konfiguriši profil provere valjanosti TPM platforme za izvorne konfiguracije UEFI firmvera“ na „Nije konfigurisano“.
-
Pokrenite sledeću komandu na uređajima na koje ovo utiče da biste preneli promenu smernica: gpupdate /force
-
Pokrenite sledeću komandu da biste obustavili BitLocker (gde je BitLocker omogućen na C: disk jedinici): manage-bde -protectors -disable C:
-
Pokrenite sledeću komandu da biste nastavili BitLocker (gde je BitLocker omogućen na disk jedinici C:): manage-bde -protectors -enable C:
-
Ovo ažurira BitLocker povezivanja tako da koriste podrazumevani PCR profil koji bira Windows.
-
Windows 10 stek ažuriranja servisiranja (KB5084130) – verzija 19041.7183
Microsoft sada kombinuje najnoviju stek ispravku servisiranja (SSU) za operativni sistem sa najnovijom kumulativnom ispravkom (LCU). SSUs poboljšava pouzdanost procesa ažuriranja i uključuje ispravke za stek servisiranja, komponentu koja instalira Windows ispravke.
Napomena: Ova servisna stek ispravka (SSU) uključuje poboljšanu logiku za potvrdu da li se uređaj hostuje na Azure, korišćenjem ažuriranog lanca certifikata za proveru valjanosti. Da biste se uverili da uređaj može da pristupi neophodnim domenima ažuriranja certifikata radi uspešnog preuzimanja i instaliranja ispravki certifikata, pogledajte članak Preuzimanja certifikata i liste opozvanih certifikata i Azure autoriteta za izdavanje certifikata. Da biste saznali više o SSU-u, pogledajte članak Ažuriranja servisiranja steka.
Kako da preuzmete ovu ispravku
Pre nego što instalirate ovu ispravku
Važno Morate da imate instaliranu najnoviju servisnu stek ispravku (SSU). Ako ne instalirate najnoviji SSU pre nego što primenite Ispravke za Windows, može doći do toga da se Windows ispravka ne nudi dok se ne instalira najnoviji SSU.
Primena
Ako primenite ovu ispravku, odaberite nešto od sledećeg na osnovu scenarija instalacije:
Za servisiranje slika van mreže OS
-
Ako slika nema LCU od 25. jula 2023. (KB5028244) ili noviju, morate da instalirate poseban samostalni SSU 13. oktobra 2023. (KB5031539) pre nego što instalirate ovu ispravku.
Za Windows Server Update Services (WSUS) primenu ili prilikom instaliranja samostalnog paketa iz Microsoft Update kataloga
Preuzmi i instaliraj ovu ispravku
Da biste preuzeli i instalirali ovu ispravku, koristite jedan od sledećih kanala za Windows i Microsoft izdanje.
|
Dostupan |
Sledeći korak |
|
|
Ova ispravka će biti automatski preuzeta i instalirana iz Windows Update. |
|
Dostupan |
Sledeći korak |
|
|
Ova ispravka će biti automatski preuzeta i instalirana iz programa Windows Update za preduzeća u skladu sa konfigurisanim smernicama. |
|
Dostupan |
Sledeći korak |
|
|
Da biste dobili samostalni paket za ovu ispravku, idite na veb lokaciju Microsoft Update kataloga . Informacije o tome kako da preuzmete i instalirate ispravke iz kataloga ažuriranja potražite u članku Preuzimanje ispravki koje uključuju upravljačke programe i hitne ispravke iz Windows Update kataloga. |
|
Dostupan |
Sledeći korak |
|
|
Ova ispravka će se automatski sinhronizovati sa Windows Server Update Services (WSUS) ako konfigurišete proizvode i klasifikacije na sledeći način:
Da biste podesili WSUS server tako da se sinhronizuje na osnovu proizvoda i klasifikacija, pogledajte članak Sinhronizovanje ažuriranja po proizvodu i klasifikaciji. Da biste ručno uvezli ispravke u WSUS, pročitajte članak Uvoz ispravki u WSUS pomoću programa PowerShell. |
Informacije o datoteci
Lista datoteka koje su uključene u ovu ispravku obezbeđena je u CSV (razgraničenoj zarezima) (*.csv) datoteci. Datoteka može da se otvori u uređivaču teksta kao što je "Beležnica" ili u programu Microsoft Excel.
Napomena: Verzija ove softverske ispravke na engleskom (SAD) može da sadrži datoteke za dodatne jezike.
Srodne informacije
Ako želite da uklonite ovu ispravku
OPREZ Pre nego što odlučite da uklonite ovu ispravku, pročitajte članak Razumevanje rizika : Zašto ne bi trebalo da deinstalirate bezbednosne ispravke.
Da biste uklonili LCU nakon instaliranja kombinovanog SSU i LCU paketa, koristite opciju komandne linije DISM/Remove-Package sa imenom LCU paketa kao argumentom. Ime paketa možete da pronađete koristeći ovu komandu: DISM /online /get-packages.
Pokretanje Windows Update samostalnog instalacionog programa (wusa.exe) sa prekidačom /deinstaliraj na kombinovanom paketu neće funkcionisati zato što kombinovani paket sadrži SSU. Posle instalacije ne možete da uklonite SSU iz sistema.
Obaveštenje o ispravkama za aplikaciju iz Prodavnice Microsoft Store
Ispravke za Windows ne instaliraju ispravke za aplikaciju iz Microsoft prodavnice. Ako ste korisnik preduzeća, pogledajte članak Microsoft Store aplikacije – Configuration Manager. Ako ste potrošač, pogledajte članak Preuzimanje ispravki za aplikacije i igre u prodavnici Microsoft Store.
Informacije o kraju podrške
Windows 10, verzije 21H2/22H2 i Windows 10 Enterprise kraj podrške LTSC 2021
Microsoft više neće pružati besplatne ispravke softvera za Windows Update, tehničku pomoć niti bezbednosne ispravke na sledeće datume završetka:
♦ Windows 10, verzija 21H2: Podrška je završena 13. juna 2023.
♦ Windows 10, verzija 22H2: Podrška je završena 14. oktobra 2025.
♦ Windows 10 Enterprise LTSC 2021: 12. januar 2027.
♦ Windows 10 IoT Enterprise LTSC 2021: 13. januar 2032.
Napomena: Da biste nastavili da primate kritične i važne bezbednosne ispravke za Windows 10, pogledajte članak Windows 10 proširene bezbednosne ispravke (ESU). U suprotnom, preporučujemo da izvršite nadogradnju na noviju verziju operativnog sistema Windows.
