Це нестандартне оновлення (OOB) за Windows Server 2025 (KB5091157) є сукупним оновленням, що не стосується системи безпеки.
Покращення
Це нестандартне оновлення містить покращення з KB5082063 (випущене 14 квітня 2026 р.). У наведеному нижче зведенні описано основні проблеми, які вирішуються в цьому нестандартному оновленні. Жирний шрифт у прямокутних дужках указує на елемент або область, у яких потрібно внести зміни.
- [Active Directory] Виправлено: Після інсталяції оновлення системи безпеки Windows за квітень 2026 р. та перезапуску контролери домену з багатодоменними лісами, які використовують керування привілейованим доступом (PAM), можуть мати проблеми із запуском. У деяких випадках служба підсистеми локального центра безпеки (LSASS) може припинити реагувати, що призводить до повторних перезавантажень і перешкоджає автентифікації та службам каталогів, через що домен може стати недоступним.
- [Інсталяція Windows Update] Виправлено: на невеликій кількості пристроїв Windows Server 2025 може не вдалось інсталювати оновлення системи безпеки Windows (KB5082063) від 14 квітня 2026 р. Коли виникає ця проблема, відповідні пристрої можуть відображати одне з таких повідомлень про помилку: "Помилка інсталяції: 0x800F0983" або "Деякі файли оновлення відсутні або мають проблеми. Пізніше ми спробуємо завантажити оновлення ще раз. Код помилки: 0x80073712."
Якщо ви інсталювали попередні оновлення, пристрій завантажить та інсталює лише нові оновлення, що містяться в цьому пакеті.
Оновлення стека обслуговування Windows Sever 2025 (KB5082062) -26100.32692
Це оновлення підвищує якість стека обслуговування – компонента, який інсталює оновлення Windows. Оновлення стека обслуговування (SSU) забезпечує надійність і надійність вашого стека обслуговування, щоб ваші пристрої могли отримувати й інсталювати оновлення Microsoft. Докладні відомості про оновлення SSU див. в розділі "Спрощення локального розгортання оновлень стека обслуговування".
Відомі проблеми в цьому оновленні
Пристрої з нерекомендованим BitLocker Group PolicyДля введення ключа відновлення BitLocker може знадобитися конфігурація Групова політика
Ознака
На деяких пристроях із некомендованою конфігурацією групової політики BitLocker, можливо, потрібно буде ввести ключ відновлення BitLocker під час першого перезавантаження після інсталяції цього оновлення.
Ця проблема виникає лише в обмеженій кількості систем, у яких виконуються ВСІ наведені нижче умови. Ці умови малоймовірні на особистих пристроях, якими не керує ІТ-відділ.
- BitLocker увімкнуто на диску ОС.
- Групову політику "Налаштувати профіль перевірки платформи модуля TPM для вбудованих конфігурацій мікропрограми UEFI" налаштовано і PCR7 включено до профілю перевірки (або еквівалентний розділ реєстру встановлено вручну).
- В інформації про систему (msinfo32.exe) зв’язування PCR7 для безпечного завантаження вказано як "Неможливе".
- Сертифікат Windows UEFI CA 2023 наявний у базі даних підписів безпечного завантаження пристрою, завдяки чому Диспетчер завантаження Windows із підписом 2023 року можна зробити стандартним на пристрої.
- На пристрої ще не використовується Диспетчер завантаження Windows із підписом 2023 року.
У цьому сценарії ключ відновлення BitLocker потрібно вводити лише один раз – подальші перезавантаження не запускатимуть екран відновлення BitLocker, доки конфігурація групової політики не зміниться. Відомості про пошук ключа відновлення BitLocker див. в статті " Пошук ключа відновлення BitLocker".
Підприємствам рекомендується перевірити, чи PCR7 явно включено до групової політики BitLocker, а також переконатися в наявності стану зв’язування PCR7 в msinfo32.exe, перш ніж інсталювати це оновлення. (Див. варіант 1 нижче).
Тимчасове вирішення
Цю проблему вирішено в KB5094125. Після інсталяції KB5094125 на пристроях із несумісною конфігурацією групової політики не можна інсталювати диспетчер завантаження Windows із підписом 2023 року. Якщо це стосується вашого пристрою, під час інсталяції оновлень Windows у журналі подій системи відображатиметься подія з ідентифікатором 1032 : "Диспетчер завантаження оновлення безпечного завантаження (2023) не застосовано через відому несумісність із поточною конфігурацією BitLocker".
Якщо ви отримали ідентифікатор події 1032, корпорація Майкрософт наполегливо рекомендує видалити конфігурацію Групова політика перед інсталяцією оновлень, щоб ви могли інсталювати диспетчер завантаження Windows із підписом 2023 року та продовжувати отримувати найновіші захисти безпечного завантаження.
Видаліть Group PolicyГрупова політика конфігурації перед інсталяцією оновлення (рекомендовано)
- Відкрийте редактор групових політик (gpedit.msc) або консоль керування груповими політиками.
- Перейдіть до: Конфігурація > комп'ютера Адміністративні шаблони Компоненти >> Windows BitLocker Drive Encryption > Диски операційної системи.
- Установіть для параметра "Налаштувати профіль перевірки платформи TPM для вбудованих конфігурацій мікропрограми UEFI" значення "Не налаштовано".
- Щоб поширити зміну політики, виконайте таку команду на відповідних пристроях: gpupdate /force
- Виконайте таку команду, щоб призупинити BitLocker (якщо BitLocker увімкнуто на диску C:): manage-bde -protectors -disable C:
- Виконайте таку команду, щоб відновити роботу BitLocker (якщо BitLocker увімкнуто на диску C:): manage-bde -protectors -enable C:
- Це оновлює прив'язки BitLocker для використання вибраного Windows стандартного профілю PCR.
Якщо ви не хочете вилучати цю конфігурацію Групова політика, ви можете інсталювати новий диспетчер завантаження Windows, тимчасово призупинивши BitLocker та інсталювавши оновлення безпечного завантаження. Ось як це зробити:
- Виконайте таку команду, щоб призупинити BitLocker (якщо BitLocker увімкнуто на диску C:): manage-bde -protectors -disable C:
- Виконайте таку команду: Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"
- Перезавантажте пристрій.
- Після успішного встановлення нового диспетчера завантаження Windows увімкніть BitLocker, виконавши команду: manage-bde -protectors -enable C:
служби Windows Server Update Services (WSUS) не відображає відомості про помилку
Після інсталяції KB5070881 або пізніших оновлень служби Windows Server Update Services (WSUS) не відображають відомості про помилку синхронізації у звітах про помилки. Цю функцію тимчасово вилучено для усунення вразливості віддаленого виконання коду, CVE-2025-59287.
Попередження, пов'язані з віддаленим робочим столом, можуть відображатися неправильно
Ознаки захворювання
Після інсталяції цього оновлення попередження системи безпеки , яке з'являється під час відкриття файлів віддаленого робочого стола (RDP), може в деяких випадках відображатися неправильно.
Ця проблема може виникнути, якщо ви використовуєте кілька моніторів із різними настройками масштабування дисплея (наприклад, один дисплей має значення 100%, а інший – 125%). У такому разі у вікні попередження може відображатися текст, який перекривається, або частково приховані кнопки, що може ускладнити читання повідомлення або взаємодію з ним.
Тимчасове вирішення
Цю проблему вирішено в KB5087539.
Отримання оновлення
Перш ніж інсталювати це оновлення
Тепер корпорація Майкрософт поєднує останнє оновлення стека обслуговування (SSU) для вашої операційної системи з останнім сукупним пакетом оновлень (LCU). Загальні відомості див. в статті " Оновлення стека обслуговування".
Інсталювати це оновлення
Щоб інсталювати це оновлення, скористайтеся одним із наведених нижче каналів випуску Windows і Microsoft.
| Доступно | Наступний крок |
|---|---|
|
Інші варіанти див. |
Примітка.
- Якщо ви хочете видалити це оновлення
- Увага! Перш ніж прийняти рішення про видалення цього оновлення, ознайомтеся зі статтею "Основні відомості про ризики: чому не слід видаляти оновлення системи безпеки".
- Щоб видалити це оновлення після інсталяції об'єднаного пакета SSU та LCU, скористайтеся параметром командного рядка DISM/Remove-Package , аргументом якого є ім'я пакета LCU. Назву пакунка можна знайти за допомогою такої команди: DISM /online /get-packages.
- Windows Update Запуск автономного інсталятора (wusa.exe) з перемикачем /uninstall в об'єднаному пакеті не працюватиме, оскільки об'єднаний пакет містить SSU. Вилучити SSU із системи після інсталяції не можна.
Відомості про файл
Щоб отримати список файлів, які містяться в цьому оновленні, завантажте відомості про файл для сукупного пакета оновлень 5091157.
Щоб отримати список файлів, які містить оновлення стека обслуговування, завантажте відомості про файл для SSU (KB5082062) – версія 26100.32692.
Журнал змін
| Змінення дати | Змінити опис |
|---|---|
| 4 червня 2026 р. | Виправлено рядок оновлення x64 .msu на вкладці "Каталог" для KB5091157 (це оновлення) |
| 27 квітня 2026 р. | Виправлено відому проблему "Попередження, пов'язані з віддаленим робочим столом, можуть відображатися неправильно" |