2026 年 4 月 14 日 - KB5082063(OS 内部版本 26100.32690)

应用对象
Windows Server 2025, all editions

此累积更新适用于 2025 Windows Server 2025 (KB5082063) ,包括最新的安全修补程序和改进,以及上个月可选预览版的非安全更新。 若要详细了解安全更新、可选非安全预览更新、带外 (OOB) 更新和持续创新之间的差异,请参阅 Windows 月度更新说明。 有关 Windows 更新术语的信息,请参阅不同类型的 Windows 软件更新

若要查看有关此版本的最新更新,请访问 Windows 版本运行状况仪表板Windows Server 2025 的更新历史记录页。

公告和消息

本部分提供与此版本相关的重要通知,包括公告、更改日志和支持终止通知。

Windows 安全启动证书过期

Windows 安全启动证书过期

注意: 大多数 Windows 设备使用的安全启动证书从 2026 年 6 月开始过期。 若未能及时更新,这可能会影响某些个人和企业设备安全启动的能力。 为避免中断,建议查看指南并提前采取措施更新证书。 有关详细信息和准备步骤,请参阅 Windows 安全启动证书过期和 CA 更新以及Windows Server安全 playbook 博客

更改日志
更改日期 更改说明
2026 年 6 月 9 日
  • 已知问题已更新:添加了针对“可能需要配置未推荐 BitLocker 组策略 的设备才能输入其 BitLocker 恢复密钥”的解决方法。
  • 更正了“目录”选项卡上的 x64 .msu 更新字符串,KB5082063 (此更新)
2026 年 5 月 12 日 已知问题修订:更新了“与远程桌面相关的警告可能无法正确显示”的解决方法。
2026 年 5 月 1 日 添加了改进: [易受攻击的驱动程序阻止列表]
2026 年 4 月 27 日 已知问题更新:已知问题“与远程桌面相关的警告可能无法正确显示”的标题修订。
4 月 23 日。 2026 已知问题已添加:“与远程桌面相关的警告可能无法正确显示”。
2026 年 4 月 21 日 已知问题已更新:“可能需要配置未经推荐的 BitLocker 组策略设备才能输入其 BitLocker 恢复密钥”。
2026 年 4 月 20 日 已编辑已知问题“安装此更新可能失败并出现错误0x800F0983或0x80073712”,以便进行说明。
2026 年 4 月 19 日
  • 添加了对已知问题“域控制器可能会在安装此更新后重复重启”的解决方法。
  • 解决方法添加了已知问题:“此更新安装可能会失败,并出现错误0x800F0983或0x80073712”
2026 年 4 月 17 日 已知问题“域控制器可能会在安装此更新后重复重启”进行了更新,以便进行说明。
2026 年 4 月 16 日 已知问题已添加:“域控制器可能会在安装此更新后反复重启”
2026 年 4 月 14 日 已知问题已添加:“可能需要配置未经推荐的 BitLocker 组策略设备才能输入其 BitLocker 恢复密钥”

改进

此安全更新包含 2026 年 3 月 10 日 发布的 KB5078740 () 的修复和质量改进。 以下摘要概述了此更新解决的关键问题。 此外,还包括可用的新功能。 括号中的粗体文本指示更改的项目或区域。

  • [安全启动]

    • 通过此更新,Windows 质量更新包括面向数据的其他高置信度设备,从而扩大有资格自动接收新安全启动证书的设备覆盖范围。 设备只有在演示了足够成功的更新信号、保持受控的分阶段推出后,才会收到新证书。
    • 此更新解决了在安全启动更新后设备可能进入 BitLocker 恢复的问题。
  • [Kerberos 协议] 此更新更改 Kerberos 密钥分发中心的默认 DefaultDomainSupportedEncTypes 值, (KDC) 操作,以便对未定义显式 msds-SupportedEncryptionTypes Active Directory 属性的帐户利用 AES-SHA1。 有关详细信息,请参阅 如何管理与 CVE-2026-20833 相关的服务帐户票证颁发更改的 Kerberos KDC 使用情况

  • [身份验证] 此更新改进了 Windows 在身份验证期间使用 Kerberos 加密策略的方式。 安装此更新后,Windows 会按预期读取配置的策略设置,这有助于确保在整个域中一致地应用加密行为。

  • [蓝牙] 此更新改进了“设置”和“快速设置”中的蓝牙设备管理,帮助连接的设备一致显示,并使其更易于添加和管理。

  • [图形] 此更新改进了从 Win32 桌面应用打印时的颜色呈现。

  • [网络] 当 Windows 通过 QUIC 使用 SMB 压缩时,此更新提高了可靠性。 安装此更新后,通过 QUIC 的 SMB 压缩请求会更加一致地完成,从而降低超时的可能性,并支持更流畅、更可靠的性能。

  • [PowerShell] 此更新改进了 PowerShell 中的 Set-GPPrefRegistryValue cmdlet 导入注册表首选项值的方式。 cmdlet 现在完整保留每个导入的值,包括最后一个字符。

  • [远程桌面] 此更新改进了对使用远程桌面 (.rdp) 文件的钓鱼攻击的防护。 打开 .rdp 文件时,远程桌面在连接前会显示所有请求的连接设置,每个设置默认处于关闭状态。 首次在设备上打开 .rdp 文件时,也会显示一次性安全警告。 有关详细信息,请参阅 了解在打开远程桌面 (RDP) 文件时的安全警告

  • [文本和字体] 此更新通过添加新的沙特货币符号来改进 Windows 字体。 此更改有助于在 Windows 应用和体验中保持文本清晰、准确和直观一致。

  • [易受攻击的驱动程序阻止列表] 此更新引入了安全强化更改,可将已知的易受攻击的内核驱动程序添加到Microsoft易受攻击的驱动程序阻止列表。 依赖于被阻止驱动程序的备份应用程序在尝试装载或管理磁盘映像时可能会遇到故障。
    这些依赖于被阻止驱动程序的应用可能会显示错误消息,包括“备份失败,因为Microsoft VSS 在创建快照期间超时”或VSS_E_BAD_STATE。 受影响的用户应更新到其应用程序的较新版本,该版本使用包含所需保护的较新驱动程序。 有关详细信息,请参阅 2026 年 4 月 Windows 安全更新引入了对已知易受攻击内核驱动程序的保护。

  • [Windows 部署服务 (WDS) ] 默认情况下,此更新在 WDS 中禁用“免手动部署”功能,不再支持此功能。 有关此更改的详细信息,请参阅 与 CVE-2026-0386 相关的 Windows 部署服务 (WDS) Hands-Free 部署强化指南

如果已安装以前的更新,则设备将仅下载并安装此包中包含的新更新。

有关安全漏洞的详细信息,请参阅安全更新指南2026 年 4 月安全汇报

Windows Server 2025 服务堆栈更新 (KB5082062) - 26100.32692

此更新对服务堆栈进行了质量改进,服务堆栈是安装 Windows 更新的组件。 服务堆栈更新 (SSU) 可确保你拥有强大且可靠的服务堆栈,让你的设备可以接收和安装 Microsoft 更新。 若要详细了解 SU,请参阅 简化服务堆栈更新的本地部署

此更新中的已知问题

安装此更新可能会失败,并出现错误0x800F0983或0x80073712

问题

少数设备可能无法安装此更新,并显示以下错误消息之一:

  • “安装错误 - 0x800F0983”
  • “某些更新文件缺失或出现问题。 稍后我们将尝试再次下载更新。 错误代码: (0x80073712) ”

解决方案

此问题已在带外更新 KB5091157中得到解决。

注意

受此问题影响的热补丁注册Windows Server 2025 设备可以安装带外更新KB5091157,以接收与 4 月安全更新 (KB5082063) 相同的保护。 但是,安装 KB5091157 需要重启并暂停热修补。 热补丁更新将在 2026 年 7 月基线更新后恢复。

安装此更新后,域控制器可能会反复重启

问题

安装此更新并重启后,域控制器 (DC) 在林中使用 Privileged Access Management (PAM) 的多个域的环境中,在启动期间可能会遇到 LSASS 崩溃。 因此,受影响的域控制器可能会反复重启,导致身份验证和目录服务无法正常运行,并可能导致域不可用。

解决方案

此问题已在带外更新 KB5091157中得到解决。

注意

如果 Windows Server 2025 设备已在热修补中注册,则应改为KB5091470安装 OOB 热补丁更新。 此热补丁 OOB 更新通过 Windows 更新 发布,不需要重启设备。

可能需要配置未经推荐的 BitLocker 组策略的设备才能输入其 BitLocker 恢复密钥

问题

安装此更新后,某些配置了不推荐的 BitLocker 组策略的设备可能需要在首次重启时输入其 BitLocker 恢复密钥。

此问题仅影响有限数量的系统,其中所有以下条件都为 true。 在不受 IT 部门管理的个人设备上,这些条件几乎不会满足。

  1. BitLocker 在 OS 驱动器上启用。
  2. 组策略“为本机 UEFI 固件配置 TPM 平台验证配置文件”已配置,且验证配置文件中包含 PCR7 (或手动设置了等效的注册表项)。
  3. 系统信息(msinfo32.exe)将安全启动状态 PCR7 绑定报告为“不可能”。
  4. Windows UEFI CA 2023 证书存在于设备的安全启动签名数据库(DB)中,使设备有资格将 2023 签名的 Windows 引导管理器设为默认。
  5. 设备尚未运行 2023 签名的 Windows 引导管理器。

在此方案中,只需输入一次 BitLocker 恢复密钥 - 只要组策略配置保持不变,后续重启就不会触发 BitLocker 恢复界面。 有关查找 BitLocker 恢复密钥的帮助,请参阅 查找 BitLocker 恢复密钥一文。

在安装此更新前,建议企业审核其 BitLocker 组策略,确认是否明确包含 PCR7,并检查 msinfo32.exe 的 PCR7 绑定状态。 (请参阅下面的解决方法。)

解决方法

此问题已在 KB5094125 中得到解决。 安装 KB5094125 后, 将阻止具有此不兼容组策略配置的设备安装 2023 签名的 Windows 启动管理器。 如果设备受到影响,安装 Windows 更新时, 事件 ID 1032 将显示在系统事件日志中:“由于已知与当前 BitLocker 配置不兼容,未应用安全启动更新启动管理器 (2023) 。

如果收到事件 ID 1032,Microsoft强烈建议在安装更新之前删除组策略配置,以便可以安装 2023 年签名的 Windows 启动管理器并继续接收最新的安全启动保护。

在安装更新之前删除组策略配置 (建议)

  1. 打开组策略编辑器(gpedit.msc)或你的组策略管理控制台。
  2. 导航到: 计算机配置 > 管理模板 > Windows 组件 > BitLocker 驱动器加密 > 操作系统驱动器
  3. 将“为本机 UEFI 固件配置 TPM 平台验证配置文件”设置为“未配置”。
  4. 在受影响的设备上运行以下命令以传播策略更改: gpupdate /force
  5. 如果已在 C: 驱动器上启用了 BitLocker,请运行以下命令来挂起 BitLocker) (: manage-bde -protectors -disable C:
  6. 如果已在 C: 驱动器上启用了 BitLocker,请运行以下命令以恢复 BitLocker) (: manage-bde -protectors -enable C:
  7. 这会更新 BitLocker 绑定以使用 Windows 选择的默认 PCR 配置文件。

如果不希望删除此组策略配置,可以通过暂时挂起 BitLocker 并安装安全启动更新来安装新的 Windows 启动管理器。 要执行此操作:

  1. 如果已在 C: 驱动器上启用了 BitLocker,请运行以下命令来挂起 BitLocker) (: manage-bde -protectors -disable C:
  2. 运行以下命令: Start-ScheduledTask -TaskName“\Microsoft\Windows\PI\Secure-Boot-Update”
  3. 重启设备。
  4. 成功安装新的 Windows 启动管理器后,通过运行以下命令来启用 BitLocker: manage-bde -protectors -enable C:
Windows Server Update Services (WSUS) 不显示错误详细信息

安装 KB5070881 或更高版本更新后,Windows Server Update Services (WSUS) 不会在其错误报告中显示同步错误详细信息。 此功能暂时删除,以解决远程代码执行漏洞 CVE-2025-59287

与远程桌面相关的警告可能无法正确显示

症状

安装此更新后,在某些情况下,打开远程桌面 (RDP) 文件时显示 的安全警告 可能不会正确显示。

如果使用具有不同显示缩放设置的多个监视器, (例如,一台显示器设置为 100%,另一台显示器设置为 125%) ,则可能会出现此问题。 发生这种情况时,警告窗口可能会显示重叠的文本或部分隐藏的按钮,这可能会使消息难以阅读或与之交互。

解决方法

此问题已在 KB5087539 中得到解决。

如何获取此更新

安装此更新之前

Microsoft将操作系统的最新服务堆栈更新 (SSU) 与最新的累积更新 (LCU) 相结合。 有关 SSU 的一般信息,请参阅 服务堆栈更新

安装此更新

若要安装此更新,请使用以下 Windows 和 Microsoft 发布通道之一。


可用 下一步
包括 此更新从 Windows 更新 和 Microsoft Update 自动下载并安装。

注意

  • 如果要删除此更新
  • 谨慎: 在决定删除此更新之前,请参阅 了解风险:为何不应卸载安全更新
  • 若要在安装组合的 SSU 和 LCU 包后删除 LCU,请使用 DISM/Remove-Package 命令行选项和 LCU 包名称作为参数。 可以使用以下命令查找包名称:DISM /online /get-packages
  • 在组合包上使用 /uninstall 开关运行Windows 更新独立安装程序 (wusa.exe) 将不起作用,因为组合包包含 SSU。 安装后,无法从系统中删除 SSU。

文件信息

有关此更新中提供的文件列表, 请下载累积更新5082063的文件信息

有关服务堆栈更新中提供的文件列表, 请下载 SSU (KB5082062) - 版本 26100.32692 的文件信息