Ngày 19 tháng 4 năm 2026—KB5091575 (Bản dựng HĐH 20348.5024) Ngoài băng tần
Áp dụng cho
Ngày phát hành:
19/04/2026
Phiên bản:
Bản dựng HĐH 20348.5024
Thông báo và tin nhắn
Phần này cung cấp các thông báo chính liên quan đến bản phát hành này, bao gồm các thông báo, nhật ký thay đổi và thông báo kết thúc hỗ trợ.
Hết hạn chứng chỉ Khởi động an toàn Windows
Quan trọng: Chứng chỉ Khởi động an toàn được hầu hết các thiết bị Windows sử dụng sẽ hết hạn vào tháng 6 năm 2026. Điều này có thể ảnh hưởng đến khả năng khởi động an toàn của một số thiết bị cá nhân và doanh nghiệp nếu không được cập nhật đúng hạn. Để tránh gián đoạn, bạn nên xem lại hướng dẫn và thực hiện hành động để cập nhật chứng chỉ trước.
Để biết chi tiết và các bước chuẩn bị cho các thiết bị Windows, hãy xem Hết hạn chứng chỉ Khởi động an toàn của Windows và các bản cập nhật CA.
Để biết thêm chi tiết và các bước chuẩn bị cho máy chủ Windows, hãy tham khảo các nguồn tài liệu sau:
|
Thay đổi ngày |
Thay đổi mô tả |
|
Ngày 21 tháng 4 năm 2026 |
Sự cố đã biết đã thêm: "Thiết bị có cấu hình chính sách nhóm BitLocker không được yêu cầu có thể phải nhập khóa khôi phục BitLocker" |
Tóm tắt
Bản cập nhật lỗi thời này dành cho Windows Server 2022 (bản KB5091575) được tích lũy. Bản cập nhật này bao gồm các bản sửa lỗi và cải tiến nằm trong bản cập nhật sau:
Sau đây là bản tóm tắt các sự cố mà bản cập nhật ban đầu này khắc phục khi bạn cài đặt bản cập nhật này. Văn bản in đậm bên trong dấu ngoặc đơn cho biết mục hoặc khu vực của thay đổi mà chúng tôi đang ghi lại.
-
[Bộ kiểm soát miền (sự cố đã biết)] Đã khắc phục: Sau khi cài đặt bản cập nhật bảo mật Windows ngày 14 tháng 4 năm 2026 (KB5082142) và khởi động lại, bộ điều khiển miền có rừng nhiều miền sử dụng Quản lý Quyền truy nhập Đặc quyền (PAM) có thể gặp sự cố khởi động. Trong một số trường hợp, Local Security Authority Subsystem Service (LSASS) có thể ngừng phản hồi, dẫn đến khởi động lại nhiều lần và ngăn dịch vụ xác thực và thư mục, điều này có thể khiến miền không sẵn dùng.
Nếu bạn đã cài đặt các bản cập nhật cũ hơn, thiết bị của bạn sẽ chỉ tải xuống và cài đặt các bản cập nhật mới có trong gói này.
Để xem các bản cập nhật mới nhất về bản phát hành này, hãy truy cập bảng điều khiển tình trạng phát hành Windows hoặc trang lịch sử cập nhật Windows Server 2022.
Windows Server nhật sắp xếp cung cấp dịch vụ 2022 (KB5082137) - 20348.5021
Microsoft hiện kết hợp bản cập nhật sắp xếp cung cấp dịch vụ (SSU) mới nhất cho hệ điều hành của bạn với bản cập nhật tích lũy mới nhất (LCU). SSU cải thiện độ tin cậy của quá trình cập nhật và bao gồm các bản sửa lỗi cho ngăn xếp cung cấp dịch vụ, cấu phần cài đặt các bản cập nhật Windows. Để tìm hiểu thêm về SSU, hãy xem Bản cập nhật sắp xếp cung cấp dịch vụ.
Những sự cố đã biết trong bản cập nhật này
Dấu hiệu
Một số thiết bị có cấu hình chính sách nhóm BitLocker không được yêu cầu có thể phải nhập khóa khôi phục BitLocker vào lần khởi động lại đầu tiên sau khi cài đặt bản cập nhật này.
Sự cố này chỉ ảnh hưởng đến một số hệ thống giới hạn trong đó TẤT CẢ các điều kiện sau đều đúng. Các điều kiện này khó có thể tìm thấy trên thiết bị cá nhân không được quản lý bởi bộ phận CNTT.
-
BitLocker được bật trên ổ đĩa HĐH.
-
Cấu hình chính sách nhóm "Cấu hình cấu hình xác thực nền tảng TPM cho cấu hình vi chương trình UEFI gốc" được đặt cấu hình và PCR7 được bao gồm trong cấu hình xác thực (hoặc khóa đăng ký tương đương được đặt theo cách thủ công).
-
Thông tin Hệ thống (msinfo32.exe) báo cáo Ràng buộc An toàn của Trạng thái Khởi động PCR7 là "Không thể".
-
Chứng chỉ Windows UEFI CA 2023 có trong Cơ sở dữ liệu Chữ ký Khởi động An toàn (DB) của thiết bị, làm cho thiết bị đủ điều kiện để được đặt làm Trình quản lý Khởi động Windows được ký năm 2023.
-
Thiết bị chưa chạy Windows Boot Manager đã ký năm 2023.
Trong trường hợp này, chỉ cần nhập khóa khôi phục BitLocker một lần -- các lần khởi động lại sau đó sẽ không kích hoạt màn hình phục hồi BitLocker, miễn là cấu hình chính sách nhóm vẫn không thay đổi. Để được trợ giúp tìm khóa khôi phục BitLocker, hãy xem bài viết Tìm khóa khôi phục BitLocker của bạn.
Các doanh nghiệp được khuyến nghị kiểm tra chính sách nhóm BitLocker để đưa PCR7 rõ ràng vào và kiểm tra xem msinfo32.exe trạng thái ràng buộc PCR7 của họ trước khi cài đặt bản cập nhật này. (Xem Giải pháp thay thế bên dưới.)
Giải pháp thay thế
Xóa cấu hình chính sách nhóm trước khi cài đặt bản cập nhật (Được đề xuất)
-
Mở Trình chính sách nhóm (gpedit.msc) hoặc Bảng điều khiển Quản chính sách nhóm của bạn.
-
Dẫn hướng đến: Cấu hình Máy tính > quản > cấu phần Windows > mã hóa ổ đĩa BitLocker > hệ điều hành.
-
Đặt "Cấu hình cấu hình cấu hình xác thực nền tảng TPM cho cấu hình vi chương trình UEFI gốc" thành "Không được Đặt cấu hình".
-
Chạy lệnh sau trên các thiết bị bị ảnh hưởng để truyền thay đổi chính sách: gpupdate /force
-
Chạy lệnh sau để tạm ngừng BitLocker (trong đó BitLocker được bật trên ổ đĩa C: ): manage-bde -protectors -disable C:
-
Chạy lệnh sau để tiếp tục BitLocker (trong đó BitLocker được bật trên ổ đĩa C:): manage-bde -protectors -enable C:
-
Thao tác này sẽ cập nhật các ràng buộc BitLocker để sử dụng cấu hình PCR mặc định do Windows chọn.
Bước tiếp theo
Chúng tôi sẽ lên kế hoạch khắc phục vĩnh viễn sự cố này trong bản cập nhật Windows trong tương lai. Thông tin thêm sẽ được cung cấp khi có sẵn.
Sau khi cài đặt KB5070884 hoặc các bản cập nhật mới hơn, Windows Server Update Services (WSUS) không hiển thị chi tiết lỗi đồng bộ trong báo cáo lỗi. Chức năng này tạm thời bị loại bỏ để khắc phục Lỗ hổng thực thi mã từ xa, CVE-2025-59287.
Cách tải bản cập nhật này
Cài đặt bản cập nhật này
Để cài đặt bản cập nhật này, hãy sử dụng một trong các kênh phát hành sau của Windows và Microsoft.
|
Sẵn dùng |
Bước Tiếp theo |
|
|
Bản cập nhật này chỉ sẵn dùng từ Danh mục Microsoft Update. |
|
Sẵn dùng |
Bước Tiếp theo |
|
|
Bản cập nhật này chỉ sẵn dùng từ Danh mục Microsoft Update. |
|
Sẵn dùng |
Bước Tiếp theo |
|
|
Để tải gói độc lập cho bản cập nhật này, hãy chuyển đến Danh mục Microsoft Update. Để tải xuống các bản cập nhật từ Danh mục Cập nhật, hãy xem Các bước tải xuống bản cập nhật từ Danh Windows Update mục. |
|
Sẵn dùng |
Bước tiếp theo |
 |
Bản cập nhật này chỉ sẵn dùng từ Danh mục Microsoft Update. |
Nếu bạn muốn loại bỏ LCU
THẬN TRỌNG Trước khi bạn quyết định xóa bản cập nhật này, hãy xem Hiểu các rủi ro: Tại sao bạn không nên gỡ cài đặt bản cập nhật bảo mật.
Để loại bỏ LCU sau khi cài đặt gói SSU và LCU kết hợp, hãy sử dụng tùy chọn dòng lệnh DISM/Remove-Package với tên gói LCU làm đối số. Bạn có thể tìm thấy tên gói bằng cách sử dụng lệnh sau: DISM /online /get-packages.
Chạy Windows Update Cài đặt Độc lập (wusa.exe) bằng công tắc /uninstall trên gói kết hợp sẽ không hoạt động vì gói kết hợp có chứa SSU. Bạn không thể xóa SSU khỏi hệ thống sau khi cài đặt.
Thông tin Tệp
Để biết danh sách các tệp được cung cấp trong bản cập nhật này, hãy tải xuống thông tin tệp cho bản cập nhật ban 55091575..
Để biết danh sách các tệp được cung cấp trong bản cập nhật sắp xếp cung cấp dịch vụ, hãy tải xuống thông tin tệp cho SSU (KB5082137) - phiên bản 20348.5021.
Bạn cần thêm trợ giúp?
Bạn muốn xem các tùy chọn khác?
Khám phá các lợi ích của gói đăng ký, xem qua các khóa đào tạo, tìm hiểu cách bảo mật thiết bị của bạn và hơn thế nữa.
Cộng đồng giúp bạn đặt và trả lời các câu hỏi, cung cấp phản hồi và lắng nghe ý kiến từ các chuyên gia có kiến thức phong phú.
