此适用于 Windows Server 2025 (KB5091157) 的带外 (OOB) 更新是非安全的累积更新。
改进
此带外更新包含 2026 年 4 月 14 日 发布的 KB5082063 () 的质量改进。 以下摘要概述了此带外更新解决的关键问题。 括号中的粗体文本指示更改的项目或区域。
- [Active Directory] 已修复:安装 2026 年 4 月 Windows 安全更新并重启后,域控制器 (DC) 使用 Privileged Access Management (PAM) 的多域林可能会遇到启动问题。 在某些情况下,本地安全机构子系统服务 (LSASS) 可能会停止响应,导致重复重启,并阻止身份验证和目录服务,这可能会使域不可用。
- [Windows 更新安装]已修复:少量Windows Server 2025 设备可能无法安装 2026 年 4 月 14 日 Windows 安全更新 (KB5082063) 。 发生此问题时,受影响的设备可能会显示以下错误消息之一:“安装错误:0x800F0983”或“某些更新文件丢失或出现问题。 稍后我们将尝试再次下载更新。 错误代码:0x80073712。”
如果安装了早期更新,则设备仅下载并安装此包中包含的新更新。
Windows Sever 2025 服务堆栈更新 (KB5082062) -26100.32692
此更新对服务堆栈进行了质量改进,服务堆栈是安装 Windows 更新的组件。 服务堆栈更新 (SSU) 可确保你拥有强大且可靠的服务堆栈,让你的设备可以接收和安装 Microsoft 更新。 若要详细了解 SU,请参阅 简化服务堆栈更新的本地部署。
此更新中的已知问题
可能需要配置未经推荐的 BitLocker 组策略的设备才能输入其 BitLocker 恢复密钥
问题
安装此更新后,某些配置了不推荐的 BitLocker 组策略的设备可能需要在首次重启时输入其 BitLocker 恢复密钥。
此问题仅影响有限数量的系统,其中所有以下条件都为 true。 在不受 IT 部门管理的个人设备上,这些条件几乎不会满足。
- BitLocker 在 OS 驱动器上启用。
- 组策略“为本机 UEFI 固件配置 TPM 平台验证配置文件”已配置,且验证配置文件中包含 PCR7 (或手动设置了等效的注册表项)。
- 系统信息(msinfo32.exe)将安全启动状态 PCR7 绑定报告为“不可能”。
- Windows UEFI CA 2023 证书存在于设备的安全启动签名数据库(DB)中,使设备有资格将 2023 签名的 Windows 引导管理器设为默认。
- 设备尚未运行 2023 签名的 Windows 引导管理器。
在此方案中,只需输入一次 BitLocker 恢复密钥 - 只要组策略配置保持不变,后续重启就不会触发 BitLocker 恢复界面。 有关查找 BitLocker 恢复密钥的帮助,请参阅 查找 BitLocker 恢复密钥一文。
在安装此更新前,建议企业审核其 BitLocker 组策略,确认是否明确包含 PCR7,并检查 msinfo32.exe 的 PCR7 绑定状态。 (请参阅下面的选项 1。)
解决方法
此问题已在 KB5094125 中得到解决。 安装 KB5094125 后, 将阻止具有此不兼容组策略配置的设备安装 2023 签名的 Windows 启动管理器。 如果设备受到影响,安装 Windows 更新时, 事件 ID 1032 将显示在系统事件日志中:“由于已知与当前 BitLocker 配置不兼容,未应用安全启动更新启动管理器 (2023) 。
如果收到事件 ID 1032,Microsoft强烈建议在安装更新之前删除组策略配置,以便可以安装 2023 年签名的 Windows 启动管理器并继续接收最新的安全启动保护。
在安装更新之前删除组策略配置 (建议)
- 打开组策略编辑器(gpedit.msc)或你的组策略管理控制台。
- 导航到: 计算机配置 > 管理模板 > Windows 组件 > BitLocker 驱动器加密 > 操作系统驱动器。
- 将“为本机 UEFI 固件配置 TPM 平台验证配置文件”设置为“未配置”。
- 在受影响的设备上运行以下命令以传播策略更改: gpupdate /force
- 如果已在 C: 驱动器上启用了 BitLocker,请运行以下命令来挂起 BitLocker) (: manage-bde -protectors -disable C:
- 如果已在 C: 驱动器上启用了 BitLocker,请运行以下命令以恢复 BitLocker) (: manage-bde -protectors -enable C:
- 这会更新 BitLocker 绑定以使用 Windows 选择的默认 PCR 配置文件。
如果不希望删除此组策略配置,可以通过暂时挂起 BitLocker 并安装安全启动更新来安装新的 Windows 启动管理器。 要执行此操作:
- 如果已在 C: 驱动器上启用了 BitLocker,请运行以下命令来挂起 BitLocker) (: manage-bde -protectors -disable C:
- 运行以下命令: Start-ScheduledTask -TaskName“\Microsoft\Windows\PI\Secure-Boot-Update”
- 重启设备。
- 成功安装新的 Windows 启动管理器后,通过运行以下命令来启用 BitLocker: manage-bde -protectors -enable C:
Windows Server Update Services (WSUS) 不显示错误详细信息
安装 KB5070881 或更高版本更新后,Windows Server Update Services (WSUS) 不会在其错误报告中显示同步错误详细信息。 此功能暂时删除,以解决远程代码执行漏洞 CVE-2025-59287。
与远程桌面相关的警告可能无法正确显示
症状
安装此更新后,在某些情况下,打开远程桌面 (RDP) 文件时显示 的安全警告 可能不会正确显示。
如果使用具有不同显示缩放设置的多个监视器, (例如,一台显示器设置为 100%,另一台显示器设置为 125%) ,则可能会出现此问题。 发生这种情况时,警告窗口可能会显示重叠的文本或部分隐藏的按钮,这可能会使消息难以阅读或与之交互。
解决方法
此问题已在 KB5087539 中得到解决。
如何获取此更新
安装此更新之前
Microsoft 现在将操作系统的最新服务堆栈更新 (SSU) 与最新的累积更新 (LCU) 组合在一起。 有关 SSU 的一般信息,请参阅 服务堆栈更新。
安装此更新
若要安装此更新,请使用以下 Windows 和 Microsoft 发布通道之一。
| 可用 | 下一步 |
|---|---|
|
参阅其他选项。 |
注意
- 如果要删除此更新
- 警告:在决定删除此更新之前,请参阅 了解风险:为何不应卸载安全更新。
- 若要在安装组合的 SSU 和 LCU 包后删除此更新,请使用 DISM/Remove-Package 命令行选项以及 LCU 包名称作为参数。 可以使用以下命令查找包名称:DISM /online /get-packages。
- 在组合包上使用 /uninstall 开关运行Windows 更新独立安装程序 (wusa.exe) 将不起作用,因为组合包包含 SSU。 安装后,无法从系统中删除 SSU。
文件信息
有关此更新中提供的文件列表,请下载累积更新5091157的文件信息。
有关服务堆栈更新中提供的文件列表,请下载 SSU (KB5082062) - 版本 26100.32692 的文件信息。
更改日志
| 更改日期 | 更改说明 |
|---|---|
| 2026 年 6 月 4 日 | 更正了“目录”选项卡上的 x64 .msu 更新字符串,KB5091157 (此更新) |
| 2026 年 4 月 27 日 | 更正了已知问题“与远程桌面相关的警告可能无法正确显示” |