12 травня 2026 р. – KB5087544 (збірки ОС 19045.7291 і 19044.7291)

Застосовується до
Windows 10 ESU Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021

Примітка.

  • Термін дії сертифіката безпечного завантаження Windows
  • Важливо: Термін дії сертифікатів безпечного завантаження, що використовуються більшістю пристроїв Windows, завершується, починаючи з червня 2026 р. Корпорація Майкрософт протягом останніх місяців оновлює ці сертифікати на пристроях споживачів і некерованих корпоративних пристроях. Пристрої, які не отримали нові сертифікати, і надалі запускатимуться та працюватимуть нормально, а стандартні оновлення Windows інсталюватимуться. У найближчі місяці ми продовжимо інсталяцію нових сертифікатів за допомогою оновлень Windows.
  • Ви можете перевірити стан свого ПК в програмі Безпека у Windows. Якщо ви ІТ-адміністратор, дотримуйтеся вказівок щодо правил безпечного завантаження для клієнтів Windows і Windows Server.

Зведення

У цій статті наведено проблеми безпеки та покращення, включені в цей сукупний пакет оновлень системи безпеки.


Застосовується до: Windows 10Windows 10 ESU

Важливо

Використовуйте EKB KB5015684 для оновлення до Windows 10 версії 22H2.

Це оновлення системи безпеки містить виправлення та покращення, які входять до складу наведених нижче оновлень.

Нижче наведено стислі відомості про проблеми, які усуваються в цьому оновленні під час інсталяції цього оновлення. Якщо є нові функції, на ній також їх перелічено. Жирний шрифт у дужках указує на елемент або область зміни, які документуються.

  • [Попередження системи безпеки віддаленого робочого стола (відома проблема)] Виправлено: діалогове вікно попередження системи безпеки підключення до віддаленого робочого стола може відображатися неправильно в конфігураціях з кількома моніторами з різними параметрами масштабування дисплея. Ця проблема може виникнути після інсталяції оновлення системи безпеки Windows, випущеного 14 квітня 2026 р. (KB5082200).

  • [Безпечне завантаження]

    • Це оновлення вмикає динамічне звітування про стан безпечного завантаження в Windows SecurityБезпека у Windows App.
    • Завдяки цьому оновленню покращення Windows містить додаткові дані націлювання пристрою з високою достовірністю, що збільшує охоплення пристроїв, які мають право автоматично отримувати нові сертифікати безпечного завантаження. Пристрої отримують нові сертифікати лише після того, як продемонструють достатню кількість сигналів успішного оновлення, підтримуючи контрольоване та поетапне розгортання.
    • Це оновлення додасть нову SecureBoot папку в розділі C:\Windows "Пристрої, які відповідають вимогам". Папка містить приклади сценаріїв, призначених для організацій із ІТ-фахівцями, які активно керують оновленнями свого парку пристроїв. Ці сценарії можна використовувати для визначення стану оновлення сертифіката безпечного завантаження та автоматизації розгортання за допомогою механізму безпечного розгортання в середовищі Active Directory. Докладні відомості див. в прикладі посібника з автоматизації безпечного завантаження E2E.
  • [Перехід на літній час] Оновлення для Арабської Республіки Єгипет щодо підтримки урядового наказу про перехід на літній час у 2023 році.

Якщо ви інсталювали попередні оновлення, на пристрій буде завантажено та інстальовано лише нові оновлення, що містяться в цьому пакеті.

Докладні відомості про вразливості системи безпеки див. на веб-сайті "Посібник з оновлень системи безпеки" та в Оновлення безпеки за травень 2026 р.

Відомості про термінологію служби Windows див. у статті про типи оновлень Windows і типи щомісячних покращень. Огляд Windows 10 версії 22H2 можна знайти на сторінці історії оновлень.

Відомі проблеми в цьому оновленні

  • Пристрої з нерекомендованим BitLocker Group PolicyДля введення ключа відновлення BitLocker може знадобитися конфігурація Групова політика

    Ознаки захворювання

    На деяких пристроях із некомендованою конфігурацією групової політики BitLocker, можливо, потрібно буде ввести ключ відновлення BitLocker під час першого перезавантаження після інсталяції цього оновлення.

    Ця проблема виникає лише в обмеженій кількості систем, у яких виконуються всі наведені нижче умови. Ці умови малоймовірні на особистих пристроях, якими не керує ІТ-відділ.

    1. BitLocker увімкнуто на диску ОС.
    2. Групову політику "Налаштувати профіль перевірки платформи модуля TPM для вбудованих конфігурацій мікропрограми UEFI" налаштовано і PCR7 включено до профілю перевірки (або еквівалентний розділ реєстру встановлено вручну).
    3. В інформації про систему (msinfo32.exe) зв’язування PCR7 для безпечного завантаження вказано як "Неможливе".
    4. Сертифікат Windows UEFI CA 2023 наявний у базі даних підписів безпечного завантаження пристрою, завдяки чому Диспетчер завантаження Windows із підписом 2023 року можна зробити стандартним на пристрої.
    5. На пристрої ще не використовується Диспетчер завантаження Windows із підписом 2023 року.

    У цьому сценарії ключ відновлення BitLocker потрібно вводити лише один раз – подальші перезавантаження не запускатимуть екран відновлення BitLocker, доки конфігурація групової політики не зміниться. Відомості про пошук ключа відновлення BitLocker див. в статті "Пошук ключа відновлення BitLocker".

    Підприємствам рекомендується перевірити, чи PCR7 явно включено до групової політики BitLocker, а також переконатися в наявності стану зв’язування PCR7 в msinfo32.exe, перш ніж інсталювати це оновлення.

    Спосіб усунення проблеми

    Ми працюємо над вирішенням проблеми та надамо більше інформації, коли вона стане доступною.

    Щоб тимчасово обійти цю проблему, вилучіть конфігурацію групової політики, перш ніж інсталювати оновлення (рекомендовано)

    1. Відкрийте редактор групових політик (gpedit.msc) або консоль керування груповими політиками.
    2. Перейдіть до: Конфігурація > комп'ютера Адміністративні шаблони Компоненти >> Windows BitLocker Drive Encryption > Диски операційної системи.
    3. Установіть для параметра "Налаштувати профіль перевірки платформи TPM для вбудованих конфігурацій мікропрограми UEFI" значення "Не налаштовано".
    4. Щоб поширити зміну політики, виконайте таку команду на відповідних пристроях: gpupdate /force
    5. Виконайте таку команду, щоб призупинити BitLocker (коли BitLocker ввімкнуто на диску C:): manage-bde -protectors -disable C:
    6. Щоб відновити роботу BitLocker, виконайте таку команду (коли BitLocker ввімкнуто на диску C:): manage-bde -protectors -enable C:
    7. Це оновлює прив'язки BitLocker для використання вибраного Windows стандартного профілю PCR.

Windows 10 оновлення стека обслуговування (KB5084130) – версія 19041.7183

Тепер корпорація Майкрософт поєднує останнє оновлення стека обслуговування (SSU) для вашої операційної системи з останнім сукупним пакетом оновлень (LCU). Оновлення стека обслуговування (SSU) підвищують надійність процесу оновлення й містять виправлення для стека обслуговування – компонента, який інсталює оновлення Windows.

Примітка. Це оновлення стека обслуговування (SSU) включає вдосконалену логіку для перевірки того, чи пристрій розміщено на Azure, використовуючи оновлений ланцюжок сертифікатів для перевірки. Щоб дізнатися, чи пристрій може отримати доступ до потрібних доменів оновлення сертифікатів і успішно завантажити та інсталювати оновлення сертифікатів, див. статтю Списки завантажень і відкликаних сертифікатів і Azure відомості про центр сертифікації. Докладні відомості про оновлення SSU див. в статті "Оновлення стека обслуговування".

Отримання оновлення

Перш ніж інсталювати це оновлення

Важливо Має бути інстальовано останнє оновлення стека обслуговування (SSU). Якщо не інсталювати останнє оновлення SSU перед застосуванням оновлень Windows, оновлення Windows може не пропонуватися, доки не буде інстальовано останнє оновлення SSU.

Розгортання

Якщо ви розгортаєте це оновлення, виберіть один із наведених нижче варіантів залежно від сценарію інсталяції.

Для обслуговування образів ОС в автономному режимі

  • Якщо на вашому образі немає LCU від 25 липня 2023 року (KB5028244) або пізнішої версії, необхідно інсталювати спеціальне автономне оновлення стека обслуговування (KB5031539) від 13 жовтня 2023 р. () перед інсталяцією цього оновлення.

Для розгортання служби Windows Server Update Services (WSUS) або під час інсталяції автономного пакета з каталогу Microsoft Update

  • Якщо на ваших пристроях не встановлено LCU від 11 травня 2021 р. (KB5003173) або пізнішої версії , необхідно інсталювати спеціальний автономний пакет SSU (KB5005260) перед інсталяцією цього оновлення.

Отримайте та інсталюйте це оновлення

Щоб отримати та інсталювати це оновлення, скористайтеся одним із наведених нижче каналів випуску Windows і Microsoft.


Доступно Наступний крок
Є в наявності Це оновлення автоматично завантажиться й інсталюється з Windows Update.

Відомості про файли

Список файлів, які включено до цього оновлення, наведено у файлі CSV (CSV, розділеного комами) (*.csv). Файл можна відкрити в текстовому редакторі, наприклад Блокноті, або в Microsoft Excel.

Примітка. Версія цього оновлення програмного забезпечення англійською мовою (Сполучені Штати) може містити файли для додаткових мов.

Піктограма завантаження Завантажте відомості про файл для цього сукупного пакета оновлень KB5087544.

Піктограма завантаження Завантажте відомості про файл для оновлення SSU (KB5084130) – версія 19041.7183 .

Якщо ви хочете видалити це оновлення

Примітка.

Повідомлення про оновлення програм Microsoft Store

Примітка.

Оновлення Windows не інсталюють оновлення програм із Microsoft Store. Якщо ви корпоративний користувач, див. статтю Програми з Microsoft Store - Configuration ManagerConfiguration Manager. Якщо ви – споживач, див. статтю "Отримання оновлень для програм та ігор у Microsoft Store".

Відомості про кінець підтримки

Примітка.

Журнал змін

Змінення дати Змінити опис
13 травня 2026 р.
  • Додано таку нотатку про випуск безпечного завантаження:

    Це оновлення додасть нову SecureBoot папку в розділі C:\Windows "Пристрої, які відповідають вимогам". Папка містить приклади сценаріїв, призначених для організацій із ІТ-фахівцями, які активно керують оновленнями свого парку пристроїв. Ці сценарії можна використовувати для визначення стану оновлення сертифіката безпечного завантаження та автоматизації розгортання за допомогою механізму безпечного розгортання в середовищі Active Directory. Докладні відомості див. в прикладі посібника з автоматизації безпечного завантаження E2E.