Примітка.
- Термін дії сертифіката безпечного завантаження Windows
- Важливо: Термін дії сертифікатів безпечного завантаження, що використовуються більшістю пристроїв Windows, завершується, починаючи з червня 2026 р. Корпорація Майкрософт протягом останніх місяців оновлює ці сертифікати на пристроях споживачів і некерованих корпоративних пристроях. Пристрої, які не отримали нові сертифікати, і надалі запускатимуться та працюватимуть нормально, а стандартні оновлення Windows інсталюватимуться. У найближчі місяці ми продовжимо інсталяцію нових сертифікатів за допомогою оновлень Windows.
- Ви можете перевірити стан свого ПК в програмі Безпека у Windows. Якщо ви ІТ-адміністратор, дотримуйтеся вказівок щодо правил безпечного завантаження для клієнтів Windows і Windows Server.
Зведення
У цій статті перелічено проблеми безпеки та покращення, включені в це оновлення системи безпеки.
Застосовується до: Windows 10Windows 10 ESU
Важливо
Використовуйте EKB KB5015684 для оновлення до Windows 10 версії 22H2.
Це оновлення системи безпеки містить виправлення та покращення, які входять до складу наведених нижче оновлень.
Нижче наведено стислі відомості про проблеми, які усуваються в цьому оновленні під час інсталяції цього оновлення. Якщо є нові функції, на ній також їх перелічено. Жирний шрифт у дужках указує на елемент або область зміни, які документуються.
[Вхід] Виправлено: після інсталяції оновлення Windows, випущеного 10 березня 2026 р. або пізніше, у деяких користувачів можуть виникати проблеми з входом у програми за допомогою облікового запису Microsoft. Навіть якщо пристрій має справне підключення до Інтернету, під час входу з'являється повідомлення про помилку "немає Інтернету", яка перешкоджає доступу до служб і програм Microsoft, як-от Microsoft Teams.
[Віддалений робочий стіл] Це оновлення покращує захист від фішингових атак, пов'язаних із використанням файлів віддаленого робочого стола (.rdp). Під час відкриття файлу RDP віддалений робочий стіл відображає всі запитані настройки підключення перед підключенням, при цьому кожен параметр за замовчуванням вимкнуто. Одноразове попередження системи безпеки також відображається, коли ви вперше відкриваєте файл RDP на пристрої. Докладні відомості див. в статті "Докладні відомості про попередження системи безпеки під час відкриття файлів віддаленого робочого стола".
[Безпечне завантаження]
- Це оновлення дає змогу динамічно звітувати про стан безпечного завантаження в програмі Безпека у Windows (Settings>Update & Security>Безпека у Windows). Дізнайтеся більше про оповіщення про стан за допомогою значків і сповіщень. Зауважте, що ці додаткові можливості вимкнено за замовчуванням на комерційних пристроях і серверах.
- Це оновлення усуває проблему, через яку пристрій може перейти до відновлення BitLocker після оновлень безпечного завантаження.
- Завдяки цьому оновленню покращення Windows містить додаткові дані націлювання пристрою з високою достовірністю, що збільшує охоплення пристроїв, які мають право автоматично отримувати нові сертифікати безпечного завантаження. Пристрої отримують нові сертифікати лише після того, як продемонструють достатню кількість сигналів успішного оновлення, підтримуючи контрольоване та поетапне розгортання.
[Список заблокованих вразливих драйверів] У цьому оновленні впроваджено зміну посилення безпеки, яка додає відомі вразливі драйвери ядра до списку заблокованих вразливих драйверів Microsoft. Програми резервного копіювання, які використовують заблоковані драйвери, можуть не працювати під час спроби підключити образи дисків або керувати ними.
Ці програми, які використовують заблоковані драйвери, можуть відображати повідомлення про помилки, зокрема "Не вдалося виконати резервне копіювання, оскільки час очікування Microsoft VSS вичерпано під час створення знімка" або VSS_E_BAD_STATE. Користувачі, яких це стосується, мають оновити програму до новішої версії, яка використовує нові драйвери з необхідними засобами захисту. Докладні відомості див. в розділі Оновлення системи безпеки Windows за квітень 2026 р. Запроваджено захист для відомих вразливих драйверів ядра.
Якщо ви інсталювали попередні оновлення, на пристрій буде завантажено та інстальовано лише нові оновлення, що містяться в цьому пакеті.
Докладні відомості про вразливості системи безпеки див. на новому веб-сайті "Посібник з оновлень системи безпеки" та Оновлення безпеки за квітень 2026 р.
Відомості про термінологію служби Windows див. у статті про типи оновлень Windows і типи щомісячних покращень. Огляд Windows 10 версії 22H2 можна знайти на сторінці історії оновлень.
Примітка Дотримуйтеся @WindowsUpdate, щоб дізнаватися , коли буде опубліковано новий вміст на приладній дошці стану випуску Windows.
Відомі проблеми в цьому оновленні
Пристрої з нерекомендованим BitLocker Group PolicyДля введення ключа відновлення BitLocker може знадобитися конфігурація Групова політика
Ознаки захворюванняНа деяких пристроях із некомендованою конфігурацією групової політики BitLocker, можливо, потрібно буде ввести ключ відновлення BitLocker під час першого перезавантаження після інсталяції цього оновлення.
Ця проблема виникає лише в обмеженій кількості систем, у яких виконуються всі наведені нижче умови. Ці умови малоймовірні на особистих пристроях, якими не керує ІТ-відділ.
- BitLocker увімкнуто на диску ОС.
- Групову політику "Налаштувати профіль перевірки платформи модуля TPM для вбудованих конфігурацій мікропрограми UEFI" налаштовано і PCR7 включено до профілю перевірки (або еквівалентний розділ реєстру встановлено вручну).
- В інформації про систему (msinfo32.exe) зв’язування PCR7 для безпечного завантаження вказано як "Неможливе".
- Сертифікат Windows UEFI CA 2023 наявний у базі даних підписів безпечного завантаження пристрою, завдяки чому Диспетчер завантаження Windows із підписом 2023 року можна зробити стандартним на пристрої.
- На пристрої ще не використовується Диспетчер завантаження Windows із підписом 2023 року.
У цьому сценарії ключ відновлення BitLocker потрібно вводити лише один раз – подальші перезавантаження не запускатимуть екран відновлення BitLocker, доки конфігурація групової політики не зміниться. Відомості про пошук ключа відновлення BitLocker див. в статті "Пошук ключа відновлення BitLocker".
Підприємствам рекомендується перевірити, чи PCR7 явно включено до групової політики BitLocker, а також переконатися в наявності стану зв’язування PCR7 в msinfo32.exe, перш ніж інсталювати це оновлення.
Спосіб усунення проблеми
Ми працюємо над вирішенням проблеми та надамо більше інформації, коли вона стане доступною.
Щоб тимчасово обійти цю проблему, вилучіть конфігурацію групової політики, перш ніж інсталювати оновлення (рекомендовано)
- Відкрийте редактор групових політик (gpedit.msc) або консоль керування груповими політиками.
- Перейдіть до: Конфігурація > комп'ютера Адміністративні шаблони Компоненти >> Windows BitLocker Drive Encryption > Диски операційної системи.
- Установіть для параметра "Налаштувати профіль перевірки платформи TPM для вбудованих конфігурацій мікропрограми UEFI" значення "Не налаштовано".
- Щоб поширити зміну політики, виконайте таку команду на відповідних пристроях: gpupdate /force
- Виконайте таку команду, щоб призупинити BitLocker (коли BitLocker ввімкнуто на диску C:): manage-bde -protectors -disable C:
- Щоб відновити роботу BitLocker, виконайте таку команду (коли BitLocker ввімкнуто на диску C:): manage-bde -protectors -enable C:
- Це оновлює прив'язки BitLocker для використання вибраного Windows стандартного профілю PCR.
Попередження системи безпеки віддаленого робочого стола можуть відображатися неправильно
Ознаки захворювання
Після інсталяції цього оновлення попередження системи безпеки , яке з'являється під час відкриття файлів віддаленого робочого стола (RDP), може в деяких випадках відображатися неправильно.
Ця проблема може виникнути, якщо ви використовуєте кілька моніторів із різними настройками масштабування дисплея (наприклад, один дисплей має значення 100%, а інший – 125%). У такому разі у вікні попередження може відображатися текст, який перекривається, або частково приховані кнопки, що може ускладнити читання повідомлення або взаємодію з ним.
Спосіб усунення проблеми
Цю проблему вирішено в оновленнях Windows від 12 травня 2026 р. (наприклад, KB5087544). Радимо інсталювати останнє оновлення Windows для вашого пристрою, оскільки воно містить важливі покращення та вирішення проблем, зокрема цієї проблеми.
Windows 10 оновлення стека обслуговування (KB5084130) – версія 19041.7183
Тепер корпорація Майкрософт поєднує останнє оновлення стека обслуговування (SSU) для вашої операційної системи з останнім сукупним пакетом оновлень (LCU). Оновлення стека обслуговування (SSU) підвищують надійність процесу оновлення й містять виправлення для стека обслуговування – компонента, який інсталює оновлення Windows.
Примітка. Це оновлення стека обслуговування (SSU) включає вдосконалену логіку для перевірки того, чи пристрій розміщено на Azure, використовуючи оновлений ланцюжок сертифікатів для перевірки. Щоб дізнатися, чи пристрій може отримати доступ до потрібних доменів оновлення сертифікатів і успішно завантажити та інсталювати оновлення сертифікатів, див. статтю Списки завантажень і відкликаних сертифікатів і Azure відомості про центр сертифікації. Докладні відомості про оновлення SSU див. в статті "Оновлення стека обслуговування".
Отримання оновлення
Перш ніж інсталювати це оновлення
Важливо Має бути інстальовано останнє оновлення стека обслуговування (SSU) Windows 10. Якщо не інсталювати останнє оновлення SSU перед застосуванням оновлень Windows, оновлення Windows може не пропонуватися, доки не буде інстальовано останнє оновлення SSU.
Залежно від сценарію інсталяції виберіть один із таких варіантів:
- Для автономного обслуговування образу ОС:
Якщо на вашому образі немає LCU від 25 липня 2023 року (KB5028244) або пізнішої версії, необхідно інсталювати спеціальне автономне оновлення стека обслуговування (KB5031539) від 13 жовтня 2023 р. () перед інсталяцією цього оновлення. - У разі розгортання служби Windows Server Update Services (WSUS) або під час інсталяції автономного пакета з каталогу Microsoft Update:
Якщо на ваших пристроях не встановлено LCU від 11 травня 2021 р. (KB5003173) або пізнішої версії , необхідно інсталювати спеціальне автономне оновлення стека обслуговування (KB5005260) від 10 серпня 2021 р. ().
Інсталювати це оновлення
Щоб інсталювати це оновлення, скористайтеся одним із наведених нижче каналів випуску Windows і Microsoft.
| Доступно | Наступний крок |
|---|---|
|
Це оновлення автоматично завантажиться й інсталюється з Windows Update. |
Відомості про файли
Список файлів, які включено до цього оновлення, наведено у файлі CSV (CSV, розділеного комами) (*.csv). Файл можна відкрити в текстовому редакторі, наприклад Блокноті, або в Microsoft Excel.
Примітка. Версія цього оновлення програмного забезпечення англійською мовою (Сполучені Штати) може містити файли для додаткових мов.
Завантажте відомості про файл для сукупного пакета оновлень KB5082200.
Завантажте відомості про файл Windows 10 оновлення стека обслуговування (KB5084130) версії 19041.7183.
Пов’язані відомості
Якщо ви хочете видалити це оновлення
Примітка.
- ОБЕРЕЖНО Перш ніж прийняти рішення про видалення цього оновлення, ознайомтеся з розділом "Основні відомості про ризики: чому не слід видаляти оновлення системи безпеки".
- Щоб видалити LCU після встановлення об'єднаного пакета SSU та LCU, скористайтеся параметром командного рядка DISM/Remove-Package з іменем пакета LCU як аргументом. Назву пакунка можна знайти за допомогою такої команди: DISM /online /get-packages.
- Windows Update Запуск автономного інсталятора (wusa.exe) з перемикачем /uninstall в об'єднаному пакеті не працюватиме, оскільки об'єднаний пакет містить SSU. Вилучити SSU із системи після інсталяції не можна.
Повідомлення про оновлення програм Microsoft Store
Примітка.
Оновлення Windows не інсталюють оновлення програм із Microsoft Store. Якщо ви корпоративний користувач, див. статтю Програми з Microsoft Store - Configuration ManagerConfiguration Manager. Якщо ви – споживач, див. статтю "Отримання оновлень для програм та ігор у Microsoft Store".
Відомості про кінець підтримки
Примітка.
- Windows 10 версій 21H2/22H2 та Windows 10 Enterprise LTSC 2021, кінець підтримки
- Корпорація Майкрософт більше не надаватиме безкоштовні оновлення програмного забезпечення через Windows Update, технічну допомогу та виправлення системи безпеки після зазначених далі дат завершення підтримки.
- ♦ Windows 10Windows 10, версія 21H2: підтримка завершилася 13 червня 2023 р.
- ♦ Windows 10Windows 10 версії 22H2: підтримку завершено 14 жовтня 2025 р.
- ♦ Windows 10 EnterpriseWindows 10 Enterprise LTSC 2021: 12 січня 2027 р.
- ♦ Windows 10 IoT EnterpriseWindows 10 IoT Enterprise LTSC 2021: January 13, 2032
- Примітка. Щоб і надалі отримувати критичні та важливі оновлення безпеки для Windows 10Windows 10, див. розділ Windows 10Windows 10 Extended Security UpdatesОновлення (ESU). В іншому разі радимо оновити систему до новішої версії Windows.
Журнал змін
| Змінення дати | Змінити опис |
|---|---|
| 12 травня 2026 р. |
|
| 1 травня 2026 р. |
|
| 23 квітня 2026 р. |
|
| 21 квітня 2026 р. |
|
| 14 квітня 2026 р. |
|