Áp dụng cho
Windows Server 2025, all editions

Ngày phát hành:

14/04/2026

Phiên bản:

Bản dựng HĐH 26100.32690

Bản cập nhật tích lũy này dành cho Windows Server 2025 (KB5082063), bao gồm các bản sửa lỗi và cải tiến bảo mật mới nhất, cùng với các bản cập nhật không liên quan đến bảo mật từ bản phát hành xem trước tùy chọn của tháng trước. Để tìm hiểu thêm về sự khác biệt giữa các bản cập nhật bảo mật, các bản cập nhật xem trước không liên quan đến bảo mật, các bản cập nhật ngoài dải (OOB) và cải tiến liên tục, hãy xem Giải thích về các bản cập nhật Windows hàng tháng. Để biết thông tin về thuật ngữ cập nhật Windows, hãy xem các loại bản cập nhật phần mềm Windows khác nhau.

Để xem các bản cập nhật mới nhất về bản phát hành này, hãy truy cập bảng điều khiển tình trạng phát hành Windows hoặc trang lịch sử cập nhật Windows Server 2025.   

Thông báo và tin nhắn

Phần này cung cấp các thông báo chính liên quan đến bản phát hành này, bao gồm các thông báo, nhật ký thay đổi và thông báo kết thúc hỗ trợ.

Hết hạn chứng chỉ Khởi động an toàn Windows

Tôiquan trọng: Chứng chỉ Khởi động An toàn mà hầu hết các thiết bị Windows sử dụng được đặt là hết hạn kể từ tháng 6 năm 2026. Điều này có thể ảnh hưởng đến khả năng khởi động an toàn của một số thiết bị cá nhân và doanh nghiệp nếu không được cập nhật đúng hạn. Để tránh gián đoạn, bạn nên xem lại hướng dẫn và thực hiện hành động để cập nhật chứng chỉ trước. Để biết chi tiết và các bước chuẩn bị, hãy xem Hết hạn chứng chỉ Khởi động An toàn của Windows và các bản cập nhật CA Windows Server blog Sách giải trí an toàn.

Thay đổi ngày

Thay đổi mô tả

Ngày 12 tháng 5 năm 2026

Thông tin sửa đổi sự cố: Đã cập nhật giải pháp thay thế cho "Các cảnh báo liên quan đến Máy tính Từ xa có thể không hiển thị chính xác"

Ngày 1 tháng 5 năm 2026

Cải tiến được thêm vào: [Danh sách chặn trình điều khiển dễ bị tổn thương]

Ngày 27 tháng 4 năm 2026

Cập nhật sự cố: Bản sửa đổi tiêu đề cho sự cố đã biết "Cảnh báo liên quan đến Máy tính Từ xa có thể không hiển thị chính xác"

Ngày 23 tháng 4. 2026

Đã thêm sự cố đã biết: "Các cảnh báo liên quan đến Máy tính Từ xa có thể không hiển thị chính xác"

Ngày 21 tháng 4 năm 2026

Đã cập nhật sự cố đã biết: "Thiết bị có cấu hình chính sách nhóm BitLocker không được yêu cầu có thể phải nhập khóa khôi phục BitLocker"

Ngày 20 tháng 4 năm 2026

Sự cố đã biết, "Có thể không cài đặt được bản cập nhật này do lỗi 0x800F0983 hoặc 0x80073712", đã được chỉnh sửa để làm rõ.

Ngày 19 tháng 4 năm 2026

  • Đã thêm độ phân giải cho sự cố đã biết "Bộ kiểm soát miền có thể khởi động lại nhiều lần sau khi cài đặt bản cập nhật này".

  • Sự cố đã biết được thêm vào với độ phân giải: "Việc cài đặt bản cập nhật này có thể không thành công với lỗi 0x800F0983 hoặc 0x80073712"

Ngày 17 tháng 4 năm 2026

Sự cố đã biết, "Bộ kiểm soát miền có thể khởi động lại nhiều lần sau khi cài đặt bản cập nhật này", đã được cập nhật để làm rõ.

Ngày 16 tháng 4 năm 2026

Đã thêm sự cố đã biết: "Bộ kiểm soát miền có thể khởi động lại nhiều lần sau khi cài đặt bản cập nhật này"

14 tháng 4 năm 2026

Sự cố đã biết đã thêm: "Thiết bị có cấu hình chính sách nhóm BitLocker không được yêu cầu có thể phải nhập khóa khôi phục BitLocker"

Cải tiến

Bản cập nhật bảo mật này chứa các bản sửa lỗi và cải tiếnchất lượng KB5078740 (phát hành ngày 10 tháng 3 năm 2026). Tóm tắt sau đây phác thảo các vấn đề chính được giải quyết bằng bản cập nhật này. Ngoài ra, bao gồm cả các tính năng mới khả dụng. Văn bản in đậm bên trong dấu ngoặc đơn cho biết mục hoặc vùng thay đổi. ​​​​

  • [Khởi động An toàn] 

    • Với bản cập nhật này, các bản cập nhật chất lượng Windows bao gồm dữ liệu nhắm mục tiêu thiết bị có độ tin cậy cao bổ sung, làm tăng phạm vi bảo hành của các thiết bị đủ điều kiện để tự động nhận được chứng chỉ Khởi động An toàn mới. Thiết bị nhận chứng chỉ mới chỉ sau khi thể hiện đủ tín hiệu cập nhật thành công, duy trì triển khai có kiểm soát và theo giai đoạn.

    • Bản cập nhật này khắc phục sự cố trong đó thiết bị có thể nhập BitLocker Recovery sau khi cập nhật Khởi động An toàn. 

  • [Giao thức Kerberos] Bản cập nhật này thay đổi giá trị DefaultDomainSupportedEncTypes mặc định cho các thao tác Trung tâm Phân phối Khóa Kerberos (KDC) để tận dụng AES-SHA1 cho các tài khoản không có thuộc tính msds-SupportedEncryptionTypes Active Directory rõ ràng. Để biết thêm thông tin, hãy xem cách quản lý việc sử dụng RC4 của Kerberos KDC cho phát hành phiếu tài khoản dịch vụ liên quan đến CVE-2026-20833.

  • [Xác thực] Bản cập nhật này cải thiện cách Windows sử dụng chính sách mã hóa Kerberos trong quá trình xác thực. Sau khi bạn cài đặt bản cập nhật này, Windows sẽ đọc cài đặt chính sách được đặt cấu hình như mong đợi, giúp đảm bảo hành vi mã hóa được áp dụng nhất quán trên toàn bộ miền.

  • [Bluetooth] Bản cập nhật này cải thiện việc quản lý thiết bị Bluetooth trong Cài đặt và Cài đặt Nhanh, giúp các thiết bị được kết nối hiển thị nhất quán và giúp bạn thêm và quản lý thiết bị dễ dàng hơn.

  • [Đồ họa] Bản cập nhật này cải thiện khả năng hiển thị màu sắc khi in từ các ứng dụng Trên máy tính Win32.

  • [Kết nối mạng] Bản cập nhật này cải thiện độ tin cậy khi Windows sử dụng nén SMB qua QUIC. Sau khi bạn cài đặt bản cập nhật này, các yêu cầu nén SMB qua QUIC hoàn thành nhất quán hơn, giảm khả năng hết thời gian chờ và hỗ trợ hiệu năng mượt mà hơn, đáng tin cậy hơn.

  • [PowerShell] Bản cập nhật này cải thiện cách thức Set-GPPrefRegistryValue lệnh ghép ngắn trong PowerShell nhập các giá trị tùy chọn đăng ký. Lệnh ghép ngắn giờ đây sẽ giữ nguyên toàn bộ mỗi giá trị được nhập, bao gồm ký tự cuối cùng.

  • [Máy tính Từ xa] Bản cập nhật này cải thiện khả năng bảo vệ chống lại các cuộc tấn công lừa đảo sử dụng tệp Máy tính Từ xa (.rdp). Khi bạn mở tệp .rdp, Máy tính Từ xa sẽ hiển thị tất cả các cài đặt kết nối được yêu cầu trước khi kết nối, với mỗi cài đặt được tắt theo mặc định. Cảnh báo bảo mật một lần cũng xuất hiện khi bạn mở tệp .rdp lần đầu trên thiết bị. Để biết thêm thông tin, hãy xem Hiểu các cảnh báo bảo mật khi mở tệp Máy tính Từ xa (RDP).

  • [Văn bản và Phông chữ] Bản cập nhật này cải thiện phông chữ Windows bằng cách thêm ký hiệu tiền tệ Saudi Riyal mới. Thay đổi này giúp giữ cho văn bản rõ ràng, chính xác và nhất quán về mặt trực quan trên các ứng dụng và trải nghiệm Windows của bạn.

  • [Danh sách chặn trình điều khiển dễ bị tổn thương] Bản cập nhật này giới thiệu một sự thay đổi c cố định bảo mật thêm trình điều khiển nhân dễ bị tổn thương đã biết vào danh sách chặn trình điều khiển dễ bị tổn thương của Microsoft. Các ứng dụng sao lưu dựa vào trình điều khiển bị chặn có thể gặp lỗi khi cố gắng gắn hoặc quản lý hình ảnh đĩa.  

    Các ứng dụng này dựa vào trình điều khiển bị chặn có thể hiển thị thông báo lỗi, bao gồm cả "Sao lưu không thành công vì Microsoft VSS đã hết thời gian chờ trong quá trình tạo ảnh tức thời" hoặc VSS_E_BAD_STATE. Người dùng bị ảnh hưởng nên cập nhật lên phiên bản ứng dụng mới hơn sử dụng trình điều khiển mới hơn bao gồm các tùy chọn bảo vệ bắt buộc. Để biết thêm thông tin, hãy xem Bản cập nhật bảo mật Windows tháng 4 năm 2026 giới thiệu các tùy chọn bảo vệ cho trình điều khiển nhân dễ bị tấn công.

  • [Windows Deployment Services (WDS)] Bản cập nhật này tắt tính năng "Triển khai Rảnh Tay" trong WDS theo mặc định và không còn là tính năng được hỗ trợ. Để biết thêm thông tin về thay đổi này, hãy xem Hướng dẫn Triển khai Dịch vụ Triển khai Windows (WDS) Hands-Free liên quan đến CVE-2026-0386.

Nếu bạn đã cài đặt các bản cập nhật trước đó, thiết bị của bạn sẽ chỉ tải xuống và cài đặt các bản cập nhật mới có trong gói này.

Để biết thêm thông tin về các lỗ hổng bảo mật, hãy xem Hướng dẫn Cập nhật Bảo mật và bản cập nhật Bảo mật tháng 4 năm 2026 dành Cập nhật.

Windows Server nhật sắp xếp cung cấp dịch vụ 2025 (KB5082062) - 26100.32692

Bản cập nhật này cải tiến chất lượng cho ngăn xếp cung cấp dịch vụ, là cấu phần cài đặt các bản cập nhật Windows. Bản cập nhật xếp chồng dịch vụ (SSU) đảm bảo rằng bạn có ngăn xếp cung cấp dịch vụ mạnh mẽ và đáng tin cậy để thiết bị của bạn có thể nhận và cài đặt các bản cập nhật Microsoft. Để tìm hiểu thêm về SSU, hãy xem mục Đơn giản hóa việc triển khai tại chỗ các bản cập nhật sắp xếp cung cấp dịch vụ.

Những sự cố đã biết trong bản cập nhật này

Dấu hiệu

Một số lượng nhỏ thiết bị có thể không cài đặt được bản cập nhật này kèm theo một trong các thông báo lỗi sau:

  • "Lỗi cài đặt - 0x800F0983"

  • "Một số tệp cập nhật bị thiếu hoặc gặp sự cố. Chúng tôi sẽ cố gắng tải xuống lại bản cập nhật này sau. Mã lỗi: (0x80073712)" 

Giải pháp

Sự cố này được khắc phục trong quá trình cập nhật ngoài dải KB5091157.

Lưu ý: Các thiết bị đã đăng ký hotpatch Windows Server 2025 bị ảnh hưởng bởi sự cố này có thể cài đặt bản cập nhật ngoài dải KB5091157để nhận được các tính năng bảo vệ tương tự như bản cập nhật bảo mật tháng 4 (KB5082063). Tuy nhiên, việc cài KB5091157 yêu cầu khởi động lại và tạm dừng truyền nóng. Các bản cập nhật hotpatch sẽ tiếp tục sau bản cập nhật cơ sở tháng 7 năm 2026.

Dấu hiệu

Sau khi cài đặt bản cập nhật này và khởi động lại, bộ kiểm soát miền (DCs) trong các môi trường có nhiều miền trong rừng sử dụng Quản lý Quyền truy nhập Đặc quyền (PAM), có thể gặp sự cố LSASS trong quá trình khởi động. Do đó, bộ kiểm soát miền bị ảnh hưởng có thể khởi động lại nhiều lần, ngăn các dịch vụ xác thực và thư mục hoạt động và có khả năng kết xuất miền không khả dụng.

Giải pháp

Sự cố này được khắc phục trong quá trình cập nhật ngoài dải KB5091157.

Lưu ý: Nếu thiết bị Windows Server 2025 của bạn được đăng ký trong hotpatching, thay vào đó bạn nên cài đặt bản cập nhật hotpatch OOB KB5091470. Bản cập nhật OOB hotpatch này được phát hành Windows Update và không yêu cầu thiết bị khởi động lại.

Dấu hiệu

Một số thiết bị có cấu hình Chính sách Nhóm BitLocker không được khuyến nghị có thể yêu cầu nhập khóa khôi phục BitLocker trong lần khởi động lại đầu tiên sau khi cài đặt bản cập nhật này.

Sự cố này chỉ ảnh hưởng đến một số hệ thống giới hạn trong đó TẤT CẢ các điều kiện sau đều đúng. Những điều kiện này khó có thể tìm thấy trên các thiết bị cá nhân không do bộ phận CNTT quản lý.

  1. BitLocker đã được bật trên ổ đĩa hệ điều hành.

  2. Chính sách nhóm "Cấu hình hồ sơ xác thực nền tảng TPM cho cấu hình phần mềm UEFI gốc" đã được thiết lập và PCR7 được bao gồm trong hồ sơ xác thực (hoặc khóa đăng ký tương đương được thiết lập thủ công).

  3. Thông tin hệ thống (msinfo32.exe) báo cáo Trạng thái Khởi động An toàn PCR7 Binding là "Không thể".

  4. Chứng chỉ Windows UEFI CA 2023 có trong Cơ sở dữ liệu chữ ký khởi động an toàn (DB) của thiết bị, cho phép thiết bị sử dụng Trình quản lý khởi động Windows được ký năm 2023 làm mặc định.

  5. Thiết bị này hiện chưa chạy Trình quản lý khởi động Windows được ký số năm 2023.

Trong trường hợp này, chỉ cần nhập khóa khôi phục BitLocker một lần duy nhất -- các lần khởi động lại sau đó sẽ không kích hoạt màn hình khôi phục BitLocker, miễn là cấu hình chính sách nhóm không thay đổi. Để được trợ giúp tìm khóa khôi phục BitLocker, hãy xem bài viết Tìm khóa khôi phục BitLocker của bạn.

Các doanh nghiệp nên kiểm tra lại chính sách nhóm BitLocker của mình để đảm bảo bao gồm PCR7 một cách rõ ràng và kiểm tra trạng thái liên kết PCR7 của msinfo32.exe trước khi cài đặt bản cập nhật này. (Xem Giải pháp thay thế bên dưới.)

Giải pháp thay thế 

Xóa cấu hình chính sách nhóm trước khi cài đặt bản cập nhật (Được đề xuất) 

  1. Mở Trình chỉnh sửa Chính sách Nhóm (gpedit.msc) hoặc Bảng điều khiển Quản lý Chính sách Nhóm của bạn.

  2. Dẫn hướng đến: Cấu hình máy tính > Mẫu quản trị > Thành phần Windows > Mã hóa ổ đĩa BitLocker > Ổ đĩa hệ điều hành.

  3. Đặt "Cấu hình hồ sơ xác thực nền tảng TPM cho cấu hình phần mềm UEFI gốc" thành "Chưa được cấu hình".

  4. Chạy lệnh sau trên các thiết bị bị ảnh hưởng để phát tán thay đổi chính sách: gpupdate /force

  5. Chạy lệnh sau để tạm dừng BitLocker (nếu BitLocker được bật trên ổ C:): manage-bde -protectors -disable C: 

  6. Chạy lệnh sau để khôi phục BitLocker (nếu BitLocker đã được bật trên ổ C:): manage-bde -protectors -enable C: 

  7. Thao tác này cập nhật các liên kết BitLocker để sử dụng cấu hình PCR mặc định do Windows lựa chọn.

Chúng tôi sẽ lên kế hoạch khắc phục vĩnh viễn sự cố này trong bản cập nhật Windows trong tương lai. Thông tin thêm sẽ được cung cấp khi có sẵn.

Sau khi cài đặt KB5070881 hoặc các bản cập nhật mới hơn, Windows Server Update Services (WSUS) không hiển thị chi tiết lỗi đồng bộ trong báo cáo lỗi. Chức năng này tạm thời bị loại bỏ để khắc phục Lỗ hổng thực thi mã từ xa, CVE-2025-59287

Triệu chứng

Sau khi cài đặt bản cập nhật này, cảnh báo bảo mật xuất hiện khi mở tệp Máy tính Từ xa (RDP) có thể không hiển thị chính xác trong một số trường hợp.

Sự cố này có thể xảy ra khi bạn sử dụng nhiều màn hình với các cài đặt điều chỉnh tỷ lệ màn hình khác nhau (ví dụ: một màn hình được đặt thành 100% và một màn hình khác được đặt là 125%). Khi điều này xảy ra, cửa sổ cảnh báo có thể hiển thị văn bản chồng lấp hoặc các nút ẩn một phần, điều này có thể khiến thư khó đọc hoặc tương tác.

Giải pháp thay thế

Sự cố này được khắc phục trong KB5087539.

Cách tải bản cập nhật này

Trước khi bạn cài đặt bản cập nhật này

Microsoft kết hợp bản cập nhật sắp xếp cung cấp dịch vụ (SSU) mới nhất cho hệ điều hành của bạn với bản cập nhật tích lũy mới nhất (LCU). Để biết thông tin chung về SSU, hãy xem Bản cập nhật sắp xếp cung cấp dịch vụ.

Cài đặt bản cập nhật này

Để cài đặt bản cập nhật này, hãy sử dụng một trong các kênh phát hành sau của Windows và Microsoft.

Sẵn dùng

Bước Tiếp theo

Được tích hợp

Bản cập nhật này sẽ tự động tải xuống và cài đặt Windows Update và Microsoft Update.

Nếu bạn muốn xóa bản cập nhật này

Thận trọng: Trước khi bạn quyết định xóa bản cập nhật này, hãy xem Hiểu các rủi ro: Tại sao bạn không nên gỡ cài đặt bản cập nhật bảo mật.

Để loại bỏ LCU sau khi cài đặt gói SSU và LCU kết hợp, hãy sử dụng tùy chọn dòng lệnh DISM/Remove-Package với tên gói LCU làm đối số. Bạn có thể tìm thấy tên gói bằng cách sử dụng lệnh sau: DISM /online /get-packages.

Chạy Windows Update Cài đặt Độc lập (wusa.exe) bằng công tắc /uninstall trên gói kết hợp sẽ không hoạt động vì gói kết hợp có chứa SSU. Bạn không thể xóa SSU khỏi hệ thống sau khi cài đặt.

Thông tin tệp

Để biết danh sách các tệp được cung cấp trong bản cập nhật này, hãy tải xuống thông tin tệp cho bản cập nhật tích lũy 5082063.

Để biết danh sách các tệp được cung cấp trong bản cập nhật sắp xếp cung cấp dịch vụ, hãy tải xuống thông tin tệp cho SSU (KB5082062) - phiên bản 26100.32692.

Facebook LinkedIn Email
ĐĂNG KÝ NGUỒN CẤP DỮ LIỆU RSS

Bạn cần thêm trợ giúp?

Bạn muốn xem các tùy chọn khác?

Khám phá các lợi ích của gói đăng ký, xem qua các khóa đào tạo, tìm hiểu cách bảo mật thiết bị của bạn và hơn thế nữa.

Lợi ích đăng ký Microsoft 365

Nội dung đào tạo về Microsoft 365

Bảo mật Microsoft

Trung tâm trợ năng