Áp dụng cho
Windows 11 version 23H2, all editions

Ngày phát hành:

14/04/2026

Phiên bản:

Bản dựng HĐH 22631.6936

Bản cập nhật tích lũy này dành cho Windows 11, phiên bản 23H2 (KB5082052), bao gồm các bản sửa lỗi và cải tiến bảo mật mới nhất, cùng với các bản cập nhật không liên quan đến bảo mật từ bản phát hành xem trước tùy chọn của tháng trước. Để tìm hiểu thêm về sự khác biệt giữa các bản cập nhật bảo mật, các bản cập nhật xem trước không liên quan đến bảo mật, các bản cập nhật ngoài dải (OOB) và cải tiến liên tục, hãy xem Giải thích về các bản cập nhật Windows hàng tháng. Để biết thông tin về thuật ngữ cập nhật Windows, hãy xem các loại bản cập nhật phần mềm Windows khác nhau.

Để xem các bản cập nhật mới nhất về bản phát hành này, hãy truy cập bảng điều khiển tình trạng phát hành Windows hoặc trang lịch sử cập nhật dành cho Windows 11, phiên bản 23H2.

Mẹo: Video của tháng này có sẵn trong bài viết Windows 11, phiên bản 25H2 và 24H2.

Thông báo và tin nhắn

Phần này cung cấp các thông báo chính liên quan đến bản phát hành này, bao gồm các thông báo, nhật ký thay đổi và thông báo kết thúc hỗ trợ.

Hết hạn chứng chỉ Khởi động an toàn Windows

Quan trọng: Chứng chỉ Khởi động an toàn được hầu hết các thiết bị Windows sử dụng sẽ hết hạn vào tháng 6 năm 2026. Điều này có thể ảnh hưởng đến khả năng khởi động an toàn của một số thiết bị cá nhân và doanh nghiệp nếu không được cập nhật đúng hạn. Để tránh gián đoạn, bạn nên xem lại hướng dẫn và thực hiện hành động để cập nhật chứng chỉ trước. Để biết chi tiết và các bước chuẩn bị, hãy xem Hết hạn chứng chỉ Khởi động an toàn của Windows và các bản cập nhật CA.

Thay đổi ngày

Thay đổi mô tả

14 tháng 4 năm 2026

Sự cố đã biết đã thêm: "Thiết bị có cấu hình chính sách nhóm BitLocker không được yêu cầu có thể phải nhập khóa khôi phục BitLocker"

Cải tiến

Bản cập nhật này khắc phục sự cố bảo mật cho hệ điều hành Windows của bạn. 

Quan trọng: Sử dụng EKB KB5027397 cập nhật lên phiên Windows 11, phiên bản 23H2.

Bản cập nhật bảo mật này chứa các bản sửa lỗi và cải tiến chất lượng KB5078883 (phát hành ngày 10 tháng 3 năm 2026). Tóm tắt sau đây phác thảo các vấn đề chính được giải quyết bằng bản cập nhật này. Ngoài ra, bao gồm cả các tính năng mới khả dụng. Văn bản in đậm bên trong dấu ngoặc đơn cho biết mục hoặc vùng thay đổi.

  • [Khởi động An toàn] 

    • Mới! Trạng thái của các bản cập nhật chứng chỉ Khởi động An toàn trên thiết bị của bạn có thể được hiển thị trong ứng dụng Bảo mật Windows (Cài đặt > quyền riêng tư & mật > Bảo mật Windows). Tìm hiểu thêm về các cảnh báo trạng thái thông qua huy hiệu và thông báo. Những cải tiến này bị tắt theo mặc định trên các thiết bị thương mại.

    • Với bản cập nhật này, các bản cập nhật chất lượng Windows bao gồm dữ liệu nhắm mục tiêu thiết bị có độ tin cậy cao bổ sung, làm tăng phạm vi bảo hành của các thiết bị đủ điều kiện để tự động nhận được chứng chỉ Khởi động An toàn mới. Thiết bị nhận chứng chỉ mới chỉ sau khi thể hiện đủ tín hiệu cập nhật thành công, duy trì triển khai có kiểm soát và theo giai đoạn.

    • Bản cập nhật này khắc phục sự cố trong đó thiết bị có thể nhập BitLocker Recovery sau khi cập nhật Khởi động An toàn.  ​​​​​​​

  • [Kết nối mạng] Bản cập nhật này cải thiện độ tin cậy khi Windows sử dụng nén SMB qua QUIC. Sau khi bạn cài đặt bản cập nhật này, các yêu cầu nén SMB qua QUIC hoàn thành nhất quán hơn, giảm khả năng hết thời gian chờ và hỗ trợ hiệu năng mượt mà hơn, đáng tin cậy hơn.

  • [Máy tính Từ xa] Bản cập nhật này cải thiện khả năng bảo vệ chống lại các cuộc tấn công lừa đảo sử dụng tệp Máy tính Từ xa (.rdp). Khi bạn mở tệp .rdp, Máy tính Từ xa sẽ hiển thị tất cả các cài đặt kết nối được yêu cầu trước khi kết nối, với mỗi cài đặt được tắt theo mặc định. Cảnh báo bảo mật một lần cũng xuất hiện khi bạn mở tệp .rdp lần đầu trên thiết bị. Để biết thêm thông tin, hãy xem Hiểu các cảnh báo bảo mật khi mở tệp Máy tính Từ xa (RDP).

  • [Đăng nhập] Đã khắc phục]Sau khi bạn cài đặt bản cập nhật Windows được phát hành vào hoặc sau ngày 10 tháng 3 năm 2026, một số người dùng có thể gặp sự cố khi đăng nhập vào các ứng dụng bằng tài khoản Microsoft. Ngay cả khi thiết bị có kết nối Internet đang hoạt động, lỗi "không có Internet" xuất hiện trong khi đăng nhập và ngăn quyền truy cập vào các dịch vụ và ứng dụng của Microsoft như Microsoft Teams.

Nếu bạn đã cài đặt các bản cập nhật trước đó, thiết bị của bạn sẽ chỉ tải xuống và cài đặt các bản cập nhật mới có trong gói này.

Để biết thêm thông tin về các lỗ hổng bảo mật, hãy xem Hướng dẫn Cập nhật Bảo mậtBản cập nhật Bảo mật tháng 4 năm 2026.

Windows 11 nhật xếp chồng dịch vụ (KB5086307) - 22621.6937

Bản cập nhật này cải tiến chất lượng cho ngăn xếp cung cấp dịch vụ, là cấu phần cài đặt các bản cập nhật Windows. Bản cập nhật xếp chồng dịch vụ (SSU) đảm bảo rằng bạn có ngăn xếp cung cấp dịch vụ mạnh mẽ và đáng tin cậy để thiết bị của bạn có thể nhận và cài đặt các bản cập nhật Microsoft. Để tìm hiểu thêm về SSU, hãy xem mục Đơn giản hóa việc triển khai tại chỗ các bản cập nhật sắp xếp cung cấp dịch vụ.

Các sự cố đã biết trong bản cập nhật này

Dấu hiệu

Một số thiết bị có cấu hình chính sách nhóm BitLocker không được yêu cầu có thể phải nhập khóa khôi phục BitLocker vào lần khởi động lại đầu tiên sau khi cài đặt bản cập nhật này.

Sự cố này chỉ ảnh hưởng đến một số hệ thống giới hạn trong đó TẤT CẢ các điều kiện sau đều đúng. Các điều kiện này khó có thể tìm thấy trên thiết bị cá nhân không được quản lý bởi bộ phận CNTT.

  1. BitLocker được bật trên ổ đĩa HĐH.

  2. Cấu hình chính sách nhóm "Cấu hình cấu hình xác thực nền tảng TPM cho cấu hình vi chương trình UEFI gốc" được đặt cấu hình và PCR7 được bao gồm trong cấu hình xác thực (hoặc khóa đăng ký tương đương được đặt theo cách thủ công).

  3. Thông tin Hệ thống (msinfo32.exe) báo cáo Ràng buộc An toàn của Trạng thái Khởi động PCR7 là "Không thể".

  4. Chứng chỉ Windows UEFI CA 2023 có trong Cơ sở dữ liệu Chữ ký Khởi động An toàn (DB) của thiết bị, làm cho thiết bị đủ điều kiện để được đặt làm Trình quản lý Khởi động Windows được ký năm 2023.

  5. Thiết bị chưa chạy Windows Boot Manager đã ký năm 2023.

Trong trường hợp này, chỉ cần nhập khóa khôi phục BitLocker một lần -- các lần khởi động lại sau đó sẽ không kích hoạt màn hình phục hồi BitLocker, miễn là cấu hình chính sách nhóm vẫn không thay đổi. Để được trợ giúp tìm khóa khôi phục BitLocker, hãy xem bài viết Tìm khóa khôi phục BitLocker của bạn.

Các doanh nghiệp được khuyến nghị kiểm tra chính sách nhóm BitLocker để đưa PCR7 rõ ràng vào và kiểm tra xem msinfo32.exe trạng thái ràng buộc PCR7 của họ trước khi cài đặt bản cập nhật này. (Xem Tùy chọn 1 bên dưới.)

Giải pháp thay thế 

Tùy chọn 1: Xóa cấu hình chính sách nhóm trước khi cài đặt bản cập nhật (Được đề xuất) 

  1. Mở Trình chính sách nhóm (gpedit.msc) hoặc Bảng điều khiển Quản chính sách nhóm của bạn.

  2. Dẫn hướng đến: Cấu hình Máy tính > quản > cấu phần Windows > mã hóa ổ đĩa BitLocker > hệ điều hành.

  3. Đặt "Cấu hình cấu hình cấu hình xác thực nền tảng TPM cho cấu hình vi chương trình UEFI gốc" thành "Không được Đặt cấu hình".

  4. Chạy lệnh sau trên các thiết bị bị ảnh hưởng để truyền thay đổi chính sách: gpupdate /force

  5. Chạy lệnh sau để tạm ngừng BitLocker (trong đó BitLocker được bật trên ổ đĩa C: ): manage-bde -protectors -disable C:

  6. Chạy lệnh sau để tiếp tục BitLocker (trong đó BitLocker được bật trên ổ đĩa C:): manage-bde -protectors -enable C:

  7. Thao tác này sẽ cập nhật các ràng buộc BitLocker để sử dụng cấu hình PCR mặc định do Windows chọn.

Tùy chọn 2: Áp dụng Quay lui Sự cố Đã biết (KIR) trước khi cài đặt bản cập nhật

Tính năng Quay lui Sự cố Đã biết (KIR) khả dụng cho những khách hàng không thể xóa chính sách nhóm PCR7 trước khi triển khai bản cập nhật này. KIR ngăn chặn tự động chuyển sang Trình quản lý Khởi động 2023, tránh trình kích hoạt khôi phục BitLocker. KIR sẽ được triển khai trước khi cài đặt bản cập nhật trên các thiết bị bị ảnh hưởng. Liên hệ với Bộ phận Hỗ trợ của Microsoft dành cho doanh nghiệp để nhận KIR này.

Bước tiếp theo

Chúng tôi sẽ lên kế hoạch khắc phục vĩnh viễn sự cố này trong bản cập nhật Windows trong tương lai. Thông tin thêm sẽ được cung cấp khi có sẵn.

Cách tải bản cập nhật này

Trước khi bạn cài đặt bản cập nhật này

Microsoft kết hợp bản cập nhật sắp xếp cung cấp dịch vụ (SSU) mới nhất cho hệ điều hành của bạn với bản cập nhật tích lũy mới nhất (LCU). Để biết thông tin chung về SSU, hãy xem Bản cập nhật sắp xếp cung cấp dịch vụ.

Cài đặt bản cập nhật này

Để cài đặt bản cập nhật này, hãy sử dụng một trong các kênh phát hành sau của Windows và Microsoft.

Sẵn dùng

Bước Tiếp theo

Được tích hợp

Bản cập nhật này sẽ tự động tải xuống và cài đặt Windows Update và Microsoft Update.

Nếu bạn muốn xóa bản cập nhật này

Thận trọng: Trước khi bạn quyết định xóa bản cập nhật này, hãy xem Hiểu các rủi ro: Tại sao bạn không nên gỡ cài đặt bản cập nhật bảo mật.

Để loại bỏ LCU sau khi cài đặt gói SSU và LCU kết hợp, hãy sử dụng tùy chọn dòng lệnh DISM/Remove-Package với tên gói LCU làm đối số. Bạn có thể tìm thấy tên gói bằng cách sử dụng lệnh sau: DISM /online /get-packages.

Chạy Windows Update Cài đặt Độc lập (wusa.exe) bằng công tắc /uninstall trên gói kết hợp sẽ không hoạt động vì gói kết hợp có chứa SSU. Bạn không thể xóa SSU khỏi hệ thống sau khi cài đặt.

Thông tin tệp

Để biết danh sách các tệp được cung cấp trong bản cập nhật này, hãy tải xuống thông tin tệp cho bản cập nhật tích lũy 5082052.   

Để biết danh sách các tệp được cung cấp trong bản cập nhật sắp xếp cung cấp dịch vụ, hãy tải xuống thông tin tệp cho SSU (KB5086307) - phiên bản 22621.6937

Chủ đề liên quan

Microsoft Store cho Doanh nghiệp và Giáo dục với Configuration Manager

Tải bản cập nhật cho ứng dụng và trò chơi trong Microsoft Store

Facebook LinkedIn Email
ĐĂNG KÝ NGUỒN CẤP DỮ LIỆU RSS

Bạn cần thêm trợ giúp?

Bạn muốn xem các tùy chọn khác?

Khám phá các lợi ích của gói đăng ký, xem qua các khóa đào tạo, tìm hiểu cách bảo mật thiết bị của bạn và hơn thế nữa.

Lợi ích đăng ký Microsoft 365

Nội dung đào tạo về Microsoft 365

Bảo mật Microsoft

Trung tâm trợ năng