12 травня 2026 р. – KB5087539(збірка ОС 26100.32860)
Застосовується до
Дата випуску:
12.05.2026
Версія:
Збірка ОС 26100.32860
Цей сукупний пакет оновлень для Windows Server 2025 (KB5087539) містить останні виправлення та покращення системи безпеки, а також оновлення, не пов'язаних із безпекою, з необов'язкового ознайомлювального випуску минулого місяця. Щоб дізнатися більше про відмінності між оновленнями системи безпеки, необов'язковими оновленнями для попереднього перегляду, не пов'язаних із безпекою, неперервним оновленням (OOB) і постійними інноваціями, див. статтю Про щомісячні оновлення Windows. Відомості про термінологію оновлення Windows див. в статті Різні типи оновлень програмного забезпечення Windows.
Щоб переглянути останні оновлення про цей випуск, відвідайте приладну дошку справності випусків Windows або сторінку журналу оновлень для Windows Server 2025.
Оголошення та повідомлення
У цьому розділі наведено основні сповіщення, пов'язані з цим випуском, зокрема оголошення, журнали змін і повідомлення про кінець підтримки.
Термін дії сертифіката безпечного завантаження Windows
Important: Термін дії сертифікатів безпечного завантаження, які використовуються більшістю пристроїв Windows, завершується з червня 2026 року. Це може вплинути на здатність певних особистих і корпоративних пристроїв безпечно завантажуватися, якщо їх вчасно не оновити. Щоб уникнути збоїв у роботі, радимо заздалегідь переглянути рекомендації та вжити заходів для оновлення сертифікатів. Докладні відомості та вказівки з підготовки див. в статті Завершення терміну дії сертифіката безпечного завантаження Windows і оновлення центру сертифікації Windows і блоґ Windows Server безпечного плану дій.
|
Змінити дату |
Змінити опис |
|
15 травня 2026 р. |
Додано оновлення служб сертифікатів Active Directory. |
|
13 травня 2026 р. |
Додано нотатку про випуск безпечного завантаження. Це оновлення додає нову папку SecureBoot в розділі C:\Windowsна відповідних пристроях. |
Поліпшень
Це оновлення системи безпеки містить виправлення та покращення з KB5082063 (випущене 14 квітня 2026 р.) і KB5091157 (випуск від 19 квітня 2026 р.). У наведеному нижче зведенні описано основні проблеми, які вирішуються цим оновленням. Крім того, доступні нові функції. Жирний текст у квадратних дужках позначає елемент або область зміни.
-
[Безпечне завантаження]
-
У цьому оновленні покращення Windows включають додаткові дані про цільові дані пристрою високої достовірності, що збільшує охоплення пристроїв, які мають право автоматично отримувати нові сертифікати безпечного завантаження. Пристрої отримують нові сертифікати лише після демонстрації достатньої кількості успішних сигналів оновлення, підтримуючи кероване та поетапне розгортання.
-
Це оновлення додає нову папку SecureBootв розділі C:\Windowsна відповідних пристроях. Ця папка містить приклади сценаріїв, призначених для організацій з ІТ-фахівцями, які активно керують оновленнями на своєму автопарку. Ці сценарії можна використовувати для виявлення стану оновлення сертифіката безпечного завантаження та автоматизації розгортання за допомогою безпечного механізму розгортання в середовищі Active Directory. Докладні відомості див. в статті Зразок посібника з автоматизації безпечного завантаження E2E.
-
-
[Підключення] Це оновлення покращує надійність сповіщень протоколу простого виявлення служби (SSDP), щоб запобігти зависанню служби.
-
[Перехід на літній час (DST)] Це оновлення підтримує зміну дн. 2023 р. для Арабської Республіки Єгипет.
-
[Контролери домену] Це оновлення покращує продуктивність служби підсистеми локального центру безпеки (LSASS) на контролерах домену, коли Microsoft Defender ввімкнуто. Це зменшує використання ЦП і пам'яті під час відстеження подій для Windows колекції IDL_DRSGetNCChanges подій.
-
[Віддалений робочий стіл (відома проблема)] Виправлено: це оновлення вирішує проблему, яка впливає на діалогове вікно попередження системи безпеки підключення до віддаленого робочого стола. Діалогове вікно може відображатися неправильно в багатомоторному сценарії, коли монітори мали інший набір масштабування. Це може статися після інсталяції оновлення системи безпеки за квітень 2026 р. (KB5082063). Докладні відомості див. в статті Докладні відомості про попередження системи безпеки під час відкриття файлів віддаленого робочого стола (RDP).
-
[Вхід] Після інсталяції оновлення Windows, випущеного 10 березня 2026 р. або пізніше, у деяких користувачів може виникнути проблема з входом у програми за допомогою облікового запису Microsoft. Навіть якщо пристрій має робоче підключення до Інтернету, під час входу з'являється повідомлення про помилку "немає Інтернету" та забороняє доступ до таких служб і програм Microsoft, як Microsoft Teams.
-
[Служби сертифікатів Active Directory] Це оновлення додає підтримку алгоритму цифрового підпису на основі модуля (ML-DSA) після квантових сигнатур у службах сертифікатів Active Directory (AD CS). Адміністратори можуть настроїти нові центри сертифікації за допомогою ML-DSA-44, ML-DSA-65 або ML-DSA-87, а також видавати квантово-стійкі сертифікати для підписання коду, протоколу TLS та онлайнового протоколу стану сертифіката (OCSP).
Якщо ви вже інсталювали попередні оновлення, пристрій завантажить та інсталює лише нові оновлення, включені в цей пакет.
Докладні відомості про вразливості системи безпеки див. в посібнику з оновлень системи безпеки та Оновлення системи безпеки за травень 2026 р.
оновлення стека обслуговування Windows Server 2025 (KB5089717) - 26100.32837
Це оновлення підвищує якість стека обслуговування – компонента, який інсталює оновлення Windows. Оновлення стека обслуговування (SSU) забезпечують надійний і надійний стек обслуговування, щоб ваші пристрої могли отримувати та інсталювати оновлення Microsoft. Докладні відомості про оновлення стека обслуговування див. в статті Спрощення локального розгортання оновлень стека обслуговування.
Відомі проблеми в цьому оновленні
Ознака
На деяких пристроях із некомендованою конфігурацією групової політики BitLocker, можливо, потрібно буде ввести ключ відновлення BitLocker під час першого перезавантаження після інсталяції цього оновлення.
Ця проблема виникає лише в обмеженій кількості систем, у яких виконуються всі наведені нижче умови. Ці умови малоймовірні на особистих пристроях, якими не керує ІТ-відділ.
-
BitLocker увімкнуто на диску ОС.
-
Групову політику "Налаштувати профіль перевірки платформи модуля TPM для вбудованих конфігурацій мікропрограми UEFI" налаштовано і PCR7 включено до профілю перевірки (або еквівалентний розділ реєстру встановлено вручну).
-
В інформації про систему (msinfo32.exe) зв’язування PCR7 для безпечного завантаження вказано як "Неможливе".
-
Сертифікат Windows UEFI CA 2023 наявний у базі даних підписів безпечного завантаження пристрою, завдяки чому Диспетчер завантаження Windows із підписом 2023 року можна зробити стандартним на пристрої.
-
На пристрої ще не використовується Диспетчер завантаження Windows із підписом 2023 року.
У цьому сценарії ключ відновлення BitLocker потрібно вводити лише один раз – подальші перезавантаження не запускатимуть екран відновлення BitLocker, доки конфігурація групової політики не зміниться. Довідку з пошуку ключа відновлення BitLocker див. в статті Пошук ключа відновлення BitLocker.
Підприємствам рекомендується перевірити, чи PCR7 явно включено до групової політики BitLocker, а також переконатися в наявності стану зв’язування PCR7 в msinfo32.exe, перш ніж інсталювати це оновлення. (Див. спосіб вирішення нижче).)
Спосіб вирішення
Видаліть конфігурацію Групова політика перед інсталяцією оновлення (рекомендовано)
-
Відкрийте редактор групових політик (gpedit.msc) або консоль керування груповими політиками.
-
Перейдіть до розділу Конфігурація комп’ютера > Адміністративні шаблони > Компоненти Windows > BitLocker Drive Encryption > Диски операційної системи.
-
Установіть для параметра "Налаштувати профіль перевірки платформи TPM для вбудованих конфігурацій мікропрограми UEFI" значення "Не налаштовано".
-
Щоб поширити зміну політики, виконайте таку команду на відповідних пристроях: gpupdate /force
-
Щоб призупинити BitLocker (якщо BitLocker ввімкнуто на диску C:), виконайте таку команду: manage-bde -protectors -disable C:
-
Щоб відновити BitLocker (якщо BitLocker ввімкнуто на диску C:), виконайте таку команду: manage-bde -protectors -enable C:
-
Зв’язування BitLocker буде оновлено, що дасть змогу використовувати стандартний профіль PCR, вибраний у Windows.
Остаточне вирішення цієї проблеми планується в майбутньому оновленні Windows. Додаткові відомості будуть надані, коли вони будуть доступні.
Після інсталяції KB5070881 або пізніших оновлень служби Windows Server Update Services (WSUS) не відображають відомості про помилку синхронізації у звітах про помилки. Цю функцію тимчасово вилучено для усунення вразливості віддаленого виконання коду, CVE-2025-59287.
Отримання цього оновлення
Перш ніж інсталювати це оновлення
Корпорація Майкрософт об'єднує останнє оновлення стека обслуговування (SSU) для вашої операційної системи з останнім сукупним пакетом оновлень (LCU). Загальні відомості про оновлення стека обслуговування див. в статті Оновлення стека обслуговування.
Інсталювати це оновлення
Щоб інсталювати це оновлення, скористайтеся одним із наведених нижче каналів випуску Windows і Microsoft.
|
Доступний |
Наступний етап. |
|
|
|
Це оновлення автоматично завантажує та інсталюється з Windows Update та Microsoft Update. |
|
Доступний |
Наступний етап. |
|
|
Це оновлення автоматично завантажує та інсталюється з Windows Update для бізнесу відповідно до настроєних політик. |
|
Доступний |
Наступний етап. |
|||||
|
|
Щоб інсталювати цей випуск із каталогу Microsoft Update, дотримуйтеся цих вказівок:Перед інсталяцією цього оновлення автономні пакетів для цього оновлення доступні на веб-сайті каталогу Microsoft Update . Це оновлення KB містить один або кілька файлів MSU, для яких потрібна інсталяція в певному порядку. Це оновлення можна інсталювати за допомогою методу 1 (разом інсталюйте всі файли MSU) або методу 2 (інсталюйте кожен файл MSU окремо в такому порядку). Спосіб 1. Разом інсталюйте всі файли MSU Завантажте всі файли MSU для KB5087539 з каталогу Microsoft Update і розташуйте їх в одній папці (наприклад, C:/Packages). Щоб інсталювати цільове оновлення, використовуйте обслуговування образу розгортання та керування (DISM.exe ). DISM використає папку, указану в PackagePath , щоб виявити та інсталювати один або кілька обов'язкових файлів MSU за потреби. Оновлення ПК з Windows Щоб застосувати це оновлення до комп'ютера під керуванням Windows, виконайте таку команду в командному рядку в режимі адміністратора:
Або виконайте таку команду з командного рядка в режимі адміністратора Windows PowerShell:
Або інсталюйте цільове оновлення за допомогою автономного інсталятора Windows Update. Оновлення інсталяційного носія Windows Щоб дізнатися, як застосувати це оновлення до інсталяційного носія Windows, див. статтю Оновлення інсталяційного носія Windows за допомогою динамічного оновлення. Примітка.: Під час завантаження інших пакетів динамічного оновлення переконайтеся, що вони збігаються в тому ж місяці, що й це КБ. Якщо динамічне оновлення SafeOS або динамічне оновлення інсталяції недоступні за місяць, що й ця KB, використовуйте останню опубліковану версію кожної з них. Щоб додати це оновлення до підключеного зображення, виконайте таку команду в командному рядку в режимі адміністратора:
Або виконайте таку команду з командного рядка в режимі адміністратора Windows PowerShell:
Спосіб 2. Інсталяція кожного файлу MSU окремо в порядку Завантажте та інсталюйте кожен файл MSU окремо за допомогою DISM або Windows Update автономного інсталятора в такому порядку:
|
|
Доступний |
Наступний етап. |
|
|
Це оновлення автоматично синхронізується з служби Windows Server Update Services (WSUS), якщо ви налаштуєте продукти та класифікації таким чином: Продукт: операційна система Microsoft Server-24H2 Класифікація: оновлення системи безпеки |
Якщо потрібно видалити це оновлення
Перш ніж видалити це оновлення, див. статтю Загальні відомості про ризики. Чому не слід видаляти оновлення системи безпеки.
Щоб видалити LCU після інсталяції об'єднаного пакета SSU та LCU, скористайтеся параметром командного рядка DISM/Remove-Package з іменем пакета LCU як аргументом. Ім'я пакета можна знайти за допомогою цієї команди: DISM /online /get-packages.
Запуск автономного інсталятора Windows Update (wusa.exe) з перемикачем /uninstall в об'єднаному пакеті не працюватиме, оскільки об'єднаний пакет містить SSU. Після інсталяції не можна видалити SSU із системи.
Відомості про файл
Щоб отримати список файлів, які містяться в цьому оновленні, завантажте відомості про файл для сукупного пакета оновлень 5087539.
Щоб отримати список файлів, що надаються в оновленні стека обслуговування, завантажте відомості про файл для SSU (KB5089717) версії 26100.32837.
Потрібна додаткова довідка?
Потрібні додаткові параметри?
Ознайомтеся з перевагами передплати, перегляньте навчальні курси, дізнайтесь, як захистити свій пристрій тощо.
Спільноти допомагають ставити запитання й відповідати на них, надавати відгуки та дізнаватися думки висококваліфікованих експертів.
