Це застаріле оновлення (OOB) для Windows Server 2025 (KB5091157) – це сукупне оновлення, відмінне від системи безпеки.
Поліпшень
Це застаріле оновлення містить покращення з KB5082063 (випущене 14 квітня 2026 р.). У наведеному нижче зведенні описано основні проблеми, які вирішено в цьому позаскладовому оновленні. Жирний текст у квадратних дужках позначає елемент або область зміни.
-
[Контролери домену (відома проблема)] Виправлено: після інсталяції оновлення системи безпеки Windows (KB5082063) від 14 квітня 2026 р. та перезавантаження контролерів домену з багатодоменних лісів, які використовують керування привілейованим доступом (PAM), можуть виникати проблеми із запуском. У деяких випадках служба підсистеми локального центру безпеки (LSASS) може припинити реагувати, що призводить до повторних перезавантажень, а також запобігти автентифікації та службам каталогів, що може зробити домен недоступним.
-
[Інсталяція Windows Update] Виправлено: невеликій кількості пристроїв Windows Server 2025 р. може не вдатися інсталювати оновлення системи безпеки Windows (KB5082063) від 14 квітня 2026 р. У разі виникнення цієї проблеми на відповідних пристроях може з'явитися одне з таких повідомлень про помилку: "Помилка інсталяції: 0x800F0983" або "Деякі файли оновлення відсутні або виникають проблеми. Ми спробуємо завантажити оновлення ще раз пізніше. Код помилки: 0x80073712".
Якщо ви інсталювали попередні оновлення, пристрій завантажує та інсталює лише нові оновлення, що містяться в цьому пакеті.
Примітка. Hotpatch update-enrolled Windows Server 2025 devices affected by the KB5082063 installation issue can install this OOB update for the same protections. Однак це вимагатиме перезавантаження, і оновлення hotpatch не відновляться до оновлення базового плану за липень 2026 р.
Оновлення стека обслуговування Windows Sever 2025 (KB5082062) -26100.32692
Це оновлення підвищує якість стека обслуговування – компонента, який інсталює оновлення Windows. Оновлення стека обслуговування (SSU) забезпечують надійний і надійний стек обслуговування, щоб ваші пристрої могли отримувати та інсталювати оновлення Microsoft. Докладні відомості про оновлення стека обслуговування див. в статті Спрощення локального розгортання оновлень стека обслуговування.
Відомі проблеми в цьому оновленні
Ознака
На деяких пристроях із некоментованою конфігурацією Групова політика BitLocker може знадобитися ввести ключ відновлення BitLocker під час першого перезавантаження після інсталяції цього оновлення.
Ця проблема виникає лише в обмеженій кількості систем, у яких виконуються всі наведені нижче умови. Навряд чи ці умови будуть знайдені на особистих пристроях, якими не керують ІТ-відділи.
-
BitLocker увімкнуто на диску ОС.
-
Настроєно Групова політика "Настроїти профіль перевірки платформи TPM для власних конфігурацій мікропрограми UEFI" і ПЛР7 включено до профілю перевірки (або еквівалентний розділ реєстру встановлюється вручну).
-
System Information (msinfo32.exe) reports Secure Boot State PCR7 Binding as "Not Possible".
-
Сертифікат Windows UEFI CA 2023 присутній у базі даних сигнатур безпечного завантаження (DB) пристрою, що робить пристрій придатним для використання диспетчера завантаження Windows із підписом 2023 року за замовчуванням.
-
На пристрої ще не запущено диспетчер завантаження Windows із підписом 2023.
У цьому сценарії ключ відновлення BitLocker потрібно вводити лише один раз – подальші перезавантаження не запускатимуть екран відновлення BitLocker, доки конфігурація групової політики не зміниться. Довідку з пошуку ключа відновлення BitLocker див. в статті Пошук ключа відновлення BitLocker.
Підприємствам рекомендується перевірити свої групові політики BitLocker для явного включення PCR7 і перевірити msinfo32.exe на наявність стану зв'язування PCR7 перед інсталяцією цього оновлення. (Див. варіант 1 нижче).
Спосіб вирішення
Варіант 1. Видаліть конфігурацію Групова політика перед інсталяцією оновлення (рекомендовано)
-
Відкрийте редактор Групова політика (gpedit.msc) або консоль керування Групова політика.
-
Перейдіть до: Конфігурація комп'ютера > адміністративні шаблони > компонентів Windows > BitLocker Drive Encryption > дисків операційної системи.
-
Установіть для параметра "Configure TPM platform validation profile for native UEFI firmware configurations" (Настроїти профіль перевірки платформи TPM для власних конфігурацій мікропрограм UEFI) значення "Не настроєно".
-
Виконайте таку команду на відповідних пристроях, щоб поширити зміну політики: gpupdate /force
-
Виконайте таку команду, щоб призупинити BitLocker (де BitLocker увімкнуто на диску C:): manage-bde -protectors -disable C:
-
Виконайте таку команду, щоб відновити BitLocker (де BitLocker увімкнуто на диску C:): manage-bde -protectors -enable C:
-
Це оновлення прив'язування BitLocker для використання вибраного за замовчуванням профілю ПЛР у Windows.
Варіант 2. Перед інсталяцією оновлення застосуйте відкочування відомих проблем (KIR)
Відоме відкочування проблеми (KIR) доступне для користувачів, які не можуть видалити групову політику PCR7 перед розгортанням цього оновлення. KIR запобігає автоматичному переходу до диспетчера завантаження 2023, уникаючи тригера відновлення BitLocker. Перед інсталяцією оновлення на відповідних пристроях слід розгорнути KIR. Зверніться до служби підтримки Microsoft для бізнесу, щоб отримати цей KIR.
Остаточне вирішення цієї проблеми планується в майбутньому оновленні Windows. Додаткові відомості будуть надані, коли вони будуть доступні.
Після інсталяції KB5070881 або пізніших оновлень служби Windows Server Update Services (WSUS) не відображають відомості про помилку синхронізації у звітах про помилки. Цю функцію тимчасово вилучено для усунення вразливості віддаленого виконання коду, CVE-2025-59287.
Отримання оновлення
Перш ніж інсталювати це оновлення
Корпорація Майкрософт тепер об'єднує останнє оновлення стека обслуговування (SSU) для вашої операційної системи з останнім сукупним пакетом оновлень (LCU). Загальні відомості про оновлення стека обслуговування див. в статті Оновлення стека обслуговування.
Інсталювати це оновлення
Щоб інсталювати це оновлення, скористайтеся одним із наведених нижче каналів випуску Windows і Microsoft.
|
Доступний |
Наступний етап. |
|
|
Перегляньте інші варіанти. |
|
Доступний |
Наступний етап. |
|
|
Перегляньте інші варіанти. |
|
Доступний |
Наступний етап. |
|||||
|
|
Щоб інсталювати цей випуск із каталогу Microsoft Update, дотримуйтеся наведених нижче вказівок. Перш ніж інсталювати це оновлення, автономні пакетів для цього оновлення, перейдіть на веб-сайт Каталог Microsoft Update. Це оновлення KB містить один або кілька файлів MSU, для яких потрібна інсталяція в певному порядку. Це оновлення можна інсталювати за допомогою методу 1 (разом інсталюйте всі файли MSU) або методу 2 (інсталюйте кожен файл MSU окремо в такому порядку). Спосіб 1. Разом інсталюйте всі файли MSU Завантажте всі файли MSU для KB5091157 з каталогу Microsoft Update і розташуйте їх в одній папці (наприклад, C:/Packages). Щоб інсталювати цільове оновлення, використовуйте обслуговування образу розгортання та керування (DISM.exe ). DISM використає папку, указану в PackagePath , щоб виявити та інсталювати один або кілька обов'язкових файлів MSU за потреби. Оновлення ПК з Windows Щоб застосувати це оновлення до комп'ютера під керуванням Windows, виконайте таку команду в командному рядку в режимі адміністратора:
Або виконайте таку команду з командного рядка в режимі адміністратора Windows PowerShell:
Або інсталюйте цільове оновлення за допомогою автономного інсталятора Windows Update. Оновлення інсталяційного носія Windows Щоб дізнатися, як застосувати це оновлення до інсталяційного носія Windows, див. статтю Оновлення інсталяційного носія Windows за допомогою динамічного оновлення. Примітка. Під час завантаження інших пакетів динамічного оновлення переконайтеся, що вони збігаються в тому ж місяці, що й це КБ. Якщо динамічне оновлення SafeOS або динамічне оновлення інсталяції недоступні за місяць, що й ця KB, використовуйте останню опубліковану версію кожної з них. Щоб додати це оновлення до підключеного зображення, виконайте таку команду в командному рядку в режимі адміністратора:
Або виконайте таку команду з командного рядка в режимі адміністратора Windows PowerShell:
Спосіб 2. Інсталяція кожного файлу MSU окремо в порядку Завантажте та інсталюйте кожен файл MSU окремо за допомогою DISM або Windows Update автономного інсталятора в такому порядку:
|
|
Доступний |
Наступний етап. |
|
|
Перегляньте інші варіанти. |
Якщо потрібно видалити це оновлення
Увага! Перш ніж видалити це оновлення, див. статтю Загальні відомості про ризики. Чому не слід видаляти оновлення системи безпеки.
Щоб видалити це оновлення після інсталяції об'єднаного пакета SSU та LCU, скористайтеся параметром командного рядка DISM/Remove-Package з іменем пакета LCU як аргумент. Ім'я пакета можна знайти за допомогою цієї команди: DISM /online /get-packages.
Запуск автономного інсталятора Windows Update (wusa.exe) з перемикачем /uninstall в об'єднаному пакеті не працюватиме, оскільки об'єднаний пакет містить SSU. Після інсталяції не можна видалити SSU із системи.
Відомості про файл
Щоб отримати список файлів, які містить це оновлення, завантажте відомості про файл, щоб отримати відомості про застарілі оновлення 5091157.
Щоб отримати список файлів, які містить оновлення стека обслуговування, завантажте відомості про файл для SSU (KB5082062) версії 26100.32692.
