2026 年 5 月 12 日 - KB5087420(操作系统内部版本 22631.7079)

应用对象
Windows 11 version 23H2, all editions

此累积更新适用于 Windows 11 版本 23H2 (KB5087420) ,包括最新的安全修补程序和改进,以及上个月可选预览版的非安全更新。 若要详细了解安全更新、可选非安全预览更新、带外 (OOB) 更新和持续创新之间的差异,请参阅 Windows 月度更新说明。 有关 Windows 更新术语的信息,请参阅不同类型的 Windows 软件更新

若要查看有关此版本的最新更新,请访问 Windows 版本运行状况仪表板Windows 11版本 23H2 的更新历史记录页。

灯泡 提示:本月的视频在Windows 11版本 25H2 和 24H2 一文中提供。

公告和消息

本部分提供与此版本相关的重要通知,包括公告、更改日志和支持终止通知。

Windows 安全启动证书过期

注意

  • Windows 安全启动证书过期
  • 重要: 大多数 Windows 设备使用的安全启动证书从 2026 年 6 月开始过期。 过去几个月来,Microsoft 一直在消费者和未托管的业务设备上更新这些证书。 未收到较新证书的设备 将继续启动并正常运行,标准 Windows 更新将继续安装。 在未来几个月内,我们将继续通过 Windows 更新安装较新的证书。
  • 可以在Windows 安全中心应用上检查电脑状态。 如果你是 IT 管理员,请按照适用于 Windows 客户端和Windows Server的安全启动 Playbook 上的指南进行操作
更改日志
更改日期 更改说明
2026 年 6 月 9 日 已知问题修订:更新了“设备具有未推荐的 BitLocker 组策略配置才能输入其 BitLocker 恢复密钥”的更新解决方法
2026 年 5 月 20 日 更正了Microsoft更新目录链接,使其指向 2026 年 5 月 12 日更新,而不是 2026 年 4 月 14 日更新。
2026 年 5 月 13 日 添加了安全启动发行说明:此更新在符合条件的设备上添加C:\Windows一个新SecureBoot文件夹。

改进

此更新解决了 Windows 操作系统的安全问题。

重要

使用 EKB KB5027397 更新到 Windows 11 版本 23H2。

此安全更新包含 2026 年 4 月 14 日 发布的 KB5082052 () 的修补程序和质量改进。 以下摘要概述了此更新解决的关键问题。 此外,还包括可用的新功能。 括号中的粗体文本指示更改的项目或区域。

  • [安全启动]

    • 通过此更新,Windows 质量更新包括面向数据的其他高置信度设备,从而扩大有资格自动接收新安全启动证书的设备覆盖范围。 设备只有在演示了足够成功的更新信号、保持受控的分阶段推出后,才会收到新证书。
    • 此更新在符合条件的设备上添加C:\Windows一个新SecureBoot文件夹。 文件夹包含示例脚本,适用于具有 IT 专业人员的组织,这些专业人员会主动跨设备群管理更新。 这些脚本可用于检测安全启动证书更新状态,并通过 Active Directory 环境中的安全推出机制自动执行部署。 有关详细信息,请参阅 示例安全启动 E2E 自动化指南
  • [国家/地区和操作员设置资产 (COSA) ] 此更新为某些移动运营商提供最新的配置文件。

  • [夏令时 (DST) ] 此更新支持埃及阿拉伯共和国的 2023 DST 更改。

  • [企业状态漫游 (ESR) ]现在可以通过组织策略Windows 备份管理 ESR。 这使 IT 管理员的设置更加容易。 若要了解详细信息,请参阅 企业状态漫游

  • [Microsoft Defender SmartScreen] 此更新使 Windows shell 中的 Microsoft Defender SmartScreen 能够发送未签名文件的文件哈希。 此支持允许 SmartScreen 使用更新的信誉模型并提高应用程序信誉检查的质量。

  • 远程桌面 (已知问题) ] 已修复:此更新解决了影响远程桌面连接安全警告对话框的问题。 当监视器具有不同的缩放集时,在多监视器方案中,对话框可能无法正确呈现。 安装 2026 年 4 月 (KB5082052) 安全更新后,可能会出现这种情况。 有关详细信息,请参阅 了解在打开远程桌面 (RDP) 文件时的安全警告

如果已安装以前的更新,则设备将仅下载并安装此包中包含的新更新。

有关安全漏洞的详细信息,请参阅 安全更新指南 2026 年 5 月安全更新

Windows 11服务堆栈更新 (KB5086307) - 22621.6937

此更新对服务堆栈进行了质量改进,服务堆栈是安装 Windows 更新的组件。 服务堆栈更新 (SSU) 可确保你拥有强大且可靠的服务堆栈,让你的设备可以接收和安装 Microsoft 更新。 若要详细了解 SU,请参阅 简化服务堆栈更新的本地部署

此更新中的已知问题

可能需要配置未经推荐的 BitLocker 组策略的设备才能输入其 BitLocker 恢复密钥

问题

安装此更新后,某些配置了不推荐的 BitLocker 组策略的设备可能需要在首次重启时输入其 BitLocker 恢复密钥。

此问题仅影响有限数量的系统,其中所有以下条件都为 true。 在不受 IT 部门管理的个人设备上,这些条件几乎不会满足。

  1. BitLocker 在 OS 驱动器上启用。
  2. 组策略“为本机 UEFI 固件配置 TPM 平台验证配置文件”已配置,且验证配置文件中包含 PCR7 (或手动设置了等效的注册表项)。
  3. 系统信息(msinfo32.exe)将安全启动状态 PCR7 绑定报告为“不可能”。
  4. Windows UEFI CA 2023 证书存在于设备的安全启动签名数据库(DB)中,使设备有资格将 2023 签名的 Windows 引导管理器设为默认。
  5. 设备尚未运行 2023 签名的 Windows 引导管理器。

在此方案中,只需输入一次 BitLocker 恢复密钥 - 只要组策略配置保持不变,后续重启就不会触发 BitLocker 恢复界面。 有关查找 BitLocker 恢复密钥的帮助,请参阅 查找 BitLocker 恢复密钥一文。

在安装此更新前,建议企业审核其 BitLocker 组策略,确认是否明确包含 PCR7,并检查 msinfo32.exe 的 PCR7 绑定状态。 (请参阅下面的解决方法。)

解决方法

此问题已在 KB5093998 中得到解决。 安装 KB5093998 后, 将阻止具有此不兼容组策略配置的设备安装 2023 签名的 Windows 启动管理器。 如果设备受到影响,安装 Windows 更新时, 事件 ID 1032 将显示在系统事件日志中:“由于已知与当前 BitLocker 配置不兼容,未应用安全启动更新启动管理器 (2023) 。

如果收到事件 ID 1032,Microsoft强烈建议在安装更新之前删除组策略配置,以便可以安装 2023 年签名的 Windows 启动管理器并继续接收最新的安全启动保护。

在安装更新之前删除组策略配置 (建议)

  1. 打开组策略编辑器(gpedit.msc)或你的组策略管理控制台。
  2. 导航到: 计算机配置 > 管理模板 > Windows 组件 > BitLocker 驱动器加密 > 操作系统驱动器
  3. 将“为本机 UEFI 固件配置 TPM 平台验证配置文件”设置为“未配置”。
  4. 在受影响的设备上运行以下命令以传播策略更改: gpupdate /force
  5. 如果已在 C: 驱动器上启用了 BitLocker,请运行以下命令来挂起 BitLocker) (: manage-bde -protectors -disable C:
  6. 如果已在 C: 驱动器上启用了 BitLocker,请运行以下命令以恢复 BitLocker) (: manage-bde -protectors -enable C:
  7. 这会更新 BitLocker 绑定以使用 Windows 选择的默认 PCR 配置文件。

如果不希望删除此组策略配置,可以通过暂时挂起 BitLocker 并安装安全启动更新来安装新的 Windows 启动管理器。 要执行此操作:

  1. 如果已在 C: 驱动器上启用了 BitLocker,请运行以下命令来挂起 BitLocker) (: manage-bde -protectors -disable C:
  2. 运行以下命令: Start-ScheduledTask -TaskName“\Microsoft\Windows\PI\Secure-Boot-Update”
  3. 重启设备。
  4. 成功安装新的 Windows 启动管理器后,通过运行以下命令来启用 BitLocker: manage-bde -protectors -enable C:

如何获取此更新

安装此更新之前

Microsoft将操作系统的最新服务堆栈更新 (SSU) 与最新的累积更新 (LCU) 相结合。 有关 SSU 的一般信息,请参阅 服务堆栈更新

安装此更新

若要安装此更新,请使用以下 Windows 和 Microsoft 发布通道之一。


可用 下一步
包括 此更新从 Windows 更新 和 Microsoft Update 自动下载并安装。

注意

  • 如果要删除此更新
  • 在决定删除此更新之前,请参阅 了解风险:为何不应卸载安全更新
  • 若要在安装组合的 SSU 和 LCU 包后删除 LCU,请使用 DISM/Remove-Package 命令行选项和 LCU 包名称作为参数。 可以使用以下命令查找包名称:DISM /online /get-packages
  • 在组合包上使用 /uninstall 开关运行Windows 更新独立安装程序 (wusa.exe) 将不起作用,因为组合包包含 SSU。 安装后,无法从系统中删除 SSU。

文件信息

有关此更新中提供的文件列表, 请下载累积更新5087420的文件信息

有关服务堆栈更新中提供的文件列表, 请下载 SSU (KB5086307) 的文件信息 - 版本 22621.6937

使用Configuration Manager适用于企业的 Microsoft Store和教育

在 Microsoft Store 中获取应用和游戏的更新