Це сукупне оновлення за Windows Server 2025 (KB5087539) містить останні виправлення системи безпеки та вдосконалення, а також оновлення, не пов'язані з безпекою, з необов'язкового підготовчого випуску минулого місяця. Щоб дізнатися більше про відмінності між оновленнями системи безпеки, необов'язковими попередніми оновленнями, що не стосуються системи безпеки, нестандартними оновленнями (OOB) та постійними інноваціями, див. статтю "Пояснення щомісячних оновлень Windows". Відомості про термінологію служби Windows Update див. в статтях з різними типами оновлень програмного забезпечення Windows.
Щоб переглянути останні оновлення про цей випуск, відвідайте приладну дошку стану випуску Windows або сторінку журналу оновлень за Windows Server 2025 р.
Оголошення та повідомлення
У цьому розділі наведено основні сповіщення, пов'язані з цим випуском, зокрема оголошення, журнали змін і повідомлення про кінець підтримки.
Термін дії сертифіката безпечного завантаження Windows
Термін дії сертифіката безпечного завантаження Windows
Першийплан : термін дії сертифікатів безпечного завантаження, що використовуються більшістю пристроїв Windows, завершується, починаючи з червня 2026 р. Це може вплинути на здатність певних особистих і корпоративних пристроїв безпечно завантажуватися, якщо їх вчасно не оновити. Щоб уникнути збоїв у роботі, радимо заздалегідь переглянути рекомендації та вжити заходів для оновлення сертифікатів. Докладні відомості та етапи підготовки див. в розділі про термін дії сертифіката безпечного завантаження Windows і оновлення центру сертифікації, а також у блозі Windows Server Secure playbook.
Журнал змін
| Змінення дати | Змінити опис |
|---|---|
| 9 червня 2026 р. | Відомі проблеми оновлено: додано вирішення для "Щоб ввести ключ відновлення BitLocker, може знадобитися конфігурація пристроїв із нерекомендованим BitLocker Group PolicyГрупова політика". |
| 27 травня 2026 р. | Оновлено команди (рядки MSU) у розділі "Каталог". |
| 15 травня 2026 р. | Додано оновлення служби сертифікатів Active Directory. |
| 13 травня 2026 р. | Додано нотатку про випуск безпечного завантаження: Це оновлення додає нову SecureBootпапку до C:\Windows розділу на пристроях, які відповідають критеріям. |
Покращення
Це оновлення системи безпеки містить виправлення та покращення зKB5082063 (випущене 14 квітня 2026 р.) і KB5091157 (випуск від 19 квітня 2026 р.). У наведеному нижче зведенні викладено основні проблеми, які вирішуються в цьому оновленні. Також включені доступні нові функції. Жирний шрифт у прямокутних дужках указує на елемент або область, у яких потрібно внести зміни.
[Безпечне завантаження]
- Завдяки цьому оновленню покращення Windows містить додаткові дані націлювання пристрою з високою достовірністю, що збільшує охоплення пристроїв, які мають право автоматично отримувати нові сертифікати безпечного завантаження. Пристрої отримують нові сертифікати лише після того, як продемонструють достатню кількість сигналів успішного оновлення, підтримуючи контрольоване та поетапне розгортання.
- Це оновлення додасть нову
SecureBootпапку в розділіC:\Windows"Пристрої, які відповідають вимогам". Папка містить приклади сценаріїв, призначених для організацій із ІТ-фахівцями, які активно керують оновленнями свого парку пристроїв. Ці сценарії можна використовувати для визначення стану оновлення сертифіката безпечного завантаження та автоматизації розгортання за допомогою механізму безпечного розгортання в середовищі Active Directory. Докладні відомості див. в прикладі посібника з автоматизації безпечного завантаження E2E.
[Підключення] Це оновлення підвищує надійність сповіщень за протоколом Simple Service Discovery Protocol (SSDP), щоб служба не переставала відповідати.
[Перехід на літній час] Це оновлення підтримує перехід на літній час Арабської Республіки Єгипет у 2023 році.
[Контролери домену] Це оновлення покращує продуктивність служби LSASS на контролерах домену, якщо ввімкнуто Microsoft DefenderMicrosoft Defender. Це зменшує використання процесора та пам'яті під час відстеження подій у колекції IDL_DRSGetNCChanges подій Windows.
[Віддалений робочий стіл (відома проблема)] ВИПРАВЛЕНО: Це оновлення усуває проблему, яка впливає на діалогове вікно попередження системи безпеки підключення до віддаленого робочого стола. Діалогове вікно може відтворюватися неправильно в сценарії з кількома моніторами, коли монітори мали різні налаштування масштабування. Це може статися після інсталяції оновлення системи безпеки за квітень 2026 р. (KB5082063). Докладні відомості див. в статті "Докладні відомості про попередження системи безпеки під час відкриття файлів віддаленого робочого стола".
[Вхід] Після інсталяції оновлення Windows, випущеного 10 березня 2026 р. або пізніше, у деяких користувачів можуть виникнути проблеми з входом у програми за допомогою облікового запису Microsoft. Навіть якщо пристрій має справне підключення до Інтернету, під час входу з'являється повідомлення про помилку "немає Інтернету", яка перешкоджає доступу до служб і програм Microsoft, як-от Microsoft Teams.
[Служба сертифікації Active Directory] У цьому оновленні додано підтримку постквантових підписів алгоритму цифрового підпису на основі решітки модуля (ML-DSA) у службах сертифікації Active Directory (AD CS). Адміністратори можуть налаштовувати нові центри сертифікації за допомогою стандартів ML-DSA-44, ML-DSA-65 або ML-DSA-87, а також видавати квантово-стійкі сертифікати для підписування коду, протоколу TLS і протоколу відповідей онлайнового протоколу статусу сертифіката (OCSP).
Якщо ви вже інсталювали попередні оновлення, пристрій завантажить та інсталює лише нові оновлення, що входять до цього пакета.
Докладні відомості про вразливості системи безпеки див. в Посібнику з оновлень системи безпеки та Оновлення безпеки за травень 2026 р.
Оновлення стека обслуговування за Windows Server 2025 р. (KB5089717) – 26100.32837
Це оновлення підвищує якість стека обслуговування – компонента, який інсталює оновлення Windows. Оновлення стека обслуговування (SSU) забезпечує надійність і надійність вашого стека обслуговування, щоб ваші пристрої могли отримувати й інсталювати оновлення Microsoft. Докладні відомості про оновлення SSU див. в розділі "Спрощення локального розгортання оновлень стека обслуговування".
Відомі проблеми в цьому оновленні
Пристрої з нерекомендованим BitLocker Group PolicyДля введення ключа відновлення BitLocker може знадобитися конфігурація Групова політика
Ознака
На деяких пристроях із некомендованою конфігурацією групової політики BitLocker, можливо, потрібно буде ввести ключ відновлення BitLocker під час першого перезавантаження після інсталяції цього оновлення.
Ця проблема виникає лише в обмеженій кількості систем, у яких виконуються ВСІ наведені нижче умови. Ці умови малоймовірні на особистих пристроях, якими не керує ІТ-відділ.
- BitLocker увімкнуто на диску ОС.
- Групову політику "Налаштувати профіль перевірки платформи модуля TPM для вбудованих конфігурацій мікропрограми UEFI" налаштовано і PCR7 включено до профілю перевірки (або еквівалентний розділ реєстру встановлено вручну).
- В інформації про систему (msinfo32.exe) зв’язування PCR7 для безпечного завантаження вказано як "Неможливе".
- Сертифікат Windows UEFI CA 2023 наявний у базі даних підписів безпечного завантаження пристрою, завдяки чому Диспетчер завантаження Windows із підписом 2023 року можна зробити стандартним на пристрої.
- На пристрої ще не використовується Диспетчер завантаження Windows із підписом 2023 року.
У цьому сценарії ключ відновлення BitLocker потрібно вводити лише один раз – подальші перезавантаження не запускатимуть екран відновлення BitLocker, доки конфігурація групової політики не зміниться. Відомості про пошук ключа відновлення BitLocker див. в статті " Пошук ключа відновлення BitLocker".
Підприємствам рекомендується перевірити, чи PCR7 явно включено до групової політики BitLocker, а також переконатися в наявності стану зв’язування PCR7 в msinfo32.exe, перш ніж інсталювати це оновлення. (Див. наведений нижче спосіб вирішення).
Тимчасове вирішення
Цю проблему вирішено в KB5094125. Після інсталяції KB5094125 на пристроях із несумісною конфігурацією групової політики не можна інсталювати диспетчер завантаження Windows із підписом 2023 року. Якщо це стосується вашого пристрою, під час інсталяції оновлень Windows у журналі подій системи відображатиметься подія з ідентифікатором 1032 : "Диспетчер завантаження оновлення безпечного завантаження (2023) не застосовано через відому несумісність із поточною конфігурацією BitLocker".
Якщо ви отримали ідентифікатор події 1032, корпорація Майкрософт наполегливо рекомендує видалити конфігурацію Групова політика перед інсталяцією оновлень, щоб ви могли інсталювати диспетчер завантаження Windows із підписом 2023 року та продовжувати отримувати найновіші захисти безпечного завантаження.
Видаліть Group PolicyГрупова політика конфігурації перед інсталяцією оновлення (рекомендовано)
- Відкрийте редактор групових політик (gpedit.msc) або консоль керування груповими політиками.
- Перейдіть до: Конфігурація > комп'ютера Адміністративні шаблони Компоненти >> Windows BitLocker Drive Encryption > Диски операційної системи.
- Установіть для параметра "Налаштувати профіль перевірки платформи TPM для вбудованих конфігурацій мікропрограми UEFI" значення "Не налаштовано".
- Щоб поширити зміну політики, виконайте таку команду на відповідних пристроях: gpupdate /force
- Виконайте таку команду, щоб призупинити BitLocker (якщо BitLocker увімкнуто на диску C:): manage-bde -protectors -disable C:
- Виконайте таку команду, щоб відновити роботу BitLocker (якщо BitLocker увімкнуто на диску C:): manage-bde -protectors -enable C:
- Це оновлює прив'язки BitLocker для використання вибраного Windows стандартного профілю PCR.
Якщо ви не хочете вилучати цю конфігурацію Групова політика, ви можете інсталювати новий диспетчер завантаження Windows, тимчасово призупинивши BitLocker та інсталювавши оновлення безпечного завантаження. Ось як це зробити:
- Виконайте таку команду, щоб призупинити BitLocker (якщо BitLocker увімкнуто на диску C:): manage-bde -protectors -disable C:
- Виконайте таку команду: Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"
- Перезавантажте пристрій.
- Після успішного встановлення нового диспетчера завантаження Windows увімкніть BitLocker, виконавши команду: manage-bde -protectors -enable C:
служби Windows Server Update Services (WSUS) не відображає відомості про помилку
Після інсталяції KB5070881 або пізніших оновлень служби Windows Server Update Services (WSUS) не відображають відомості про помилку синхронізації у звітах про помилки. Цю функцію тимчасово вилучено для усунення вразливості віддаленого виконання коду, CVE-2025-59287.
Отримання оновлення
Перш ніж інсталювати це оновлення
Корпорація Майкрософт поєднує останнє оновлення стека обслуговування (SSU) для вашої операційної системи з останнім сукупним пакетом оновлень (LCU). Загальні відомості див. в статті " Оновлення стека обслуговування".
Інсталювати це оновлення
Щоб інсталювати це оновлення, скористайтеся одним із наведених нижче каналів випуску Windows і Microsoft.
| Доступно | Наступний крок | |
|---|---|---|
|
Це оновлення автоматично завантажується й інсталюється з Windows Update та Microsoft Update. |
Примітка.
- Якщо ви хочете видалити це оновлення
- Перш ніж прийняти рішення про видалення цього оновлення, ознайомтеся з розділом "Основні відомості про ризики: чому не слід видаляти оновлення системи безпеки".
- Щоб видалити LCU після встановлення об'єднаного пакета SSU та LCU, скористайтеся параметром командного рядка DISM/Remove-Package з іменем пакета LCU як аргументом. Назву пакунка можна знайти за допомогою такої команди: DISM /online /get-packages.
- Windows Update Запуск автономного інсталятора (wusa.exe) з перемикачем /uninstall в об'єднаному пакеті не працюватиме, оскільки об'єднаний пакет містить SSU. Вилучити SSU із системи після інсталяції не можна.
Відомості про файли
Щоб отримати список файлів, які містяться в цьому оновленні, завантажте відомості про файл для сукупного пакета оновлень 5087539.
Щоб отримати список файлів, які містить оновлення стека обслуговування, завантажте відомості про файл для SSU (KB5089717) – версія 26100.32837.