公告和消息
本部分提供与此版本相关的重要通知,包括公告、更改日志和支持终止通知。
Windows 安全启动证书过期
注意
- Windows 安全启动证书过期
- 重要: 大多数 Windows 设备使用的安全启动证书从 2026 年 6 月开始过期。 过去几个月来,Microsoft 一直在消费者和未托管的业务设备上更新这些证书。 未收到较新证书的设备 将继续启动并正常运行,标准 Windows 更新将继续安装。 在未来几个月内,我们将继续通过 Windows 更新安装较新的证书。
- 可以在Windows 安全中心应用上检查电脑状态。 如果你是 IT 管理员,请按照适用于 Windows 客户端和Windows Server的安全启动 Playbook 上的指南进行操作。
更改日志
| 更改日期 | 更改说明 |
|---|---|
| 2026 年 5 月 7 日 | 添加了对已知问题“与远程桌面相关的警告可能无法正确显示”的解决方法。 |
| 2026 年 4 月 27 日 | 更正了已知问题“与远程桌面相关的警告可能无法正确显示”。 |
| 2026 年 4 月 23 日 | 添加了已知问题:“与远程桌面相关的警告可能无法正确显示”。 |
| 2026 年 4 月 21 日 | 已知问题已添加:“可能需要配置未经推荐的 BitLocker 组策略设备才能输入其 BitLocker 恢复密钥”。 |
摘要
此带外更新适用于 2022 Windows Server 2022 (KB5091575) 是累积的。 它包括以下更新的一部分的修补程序和改进:
下面是此带外更新在安装此更新时所解决的问题的摘要。 括号中的粗体文本表示我们记录的更改的项目或区域。
- [域控制器 (已知问题) ] 已修复:安装 2026 年 4 月 14 日后, (KB5082142) Windows 安全更新并重启,使用 Privileged Access Management (PAM) 的多域林的域控制器可能会遇到启动问题。 在某些情况下,本地安全机构子系统服务 (LSASS) 可能会停止响应,导致重复重启,并阻止身份验证和目录服务,这可能会使域不可用。
如果安装了早期更新,则设备仅下载并安装此包中包含的新更新。
若要查看有关此版本的最新更新,请访问 Windows 版本运行状况仪表板或 Windows Server 2022 的更新历史记录页。
Windows Server 2022 服务堆栈更新 (KB5082137) - 20348.5021
Microsoft 现在将操作系统的最新服务堆栈更新 (SSU) 与最新的累积更新 (LCU) 组合在一起。 SU 提高了更新过程的可靠性,并包括对服务堆栈(安装 Windows 更新的组件)的修复。 若要了解有关 SU 的详细信息,请参阅 服务堆栈更新。
此更新中的已知问题
可能需要配置未经推荐的 BitLocker 组策略的设备才能输入其 BitLocker 恢复密钥
问题
安装此更新后,某些配置了不推荐的 BitLocker 组策略的设备可能需要在首次重启时输入其 BitLocker 恢复密钥。
此问题仅影响有限数量的系统,其中所有以下条件都为 true。 在不受 IT 部门管理的个人设备上,这些条件几乎不会满足。
- BitLocker 在 OS 驱动器上启用。
- 组策略“为本机 UEFI 固件配置 TPM 平台验证配置文件”已配置,且验证配置文件中包含 PCR7 (或手动设置了等效的注册表项)。
- 系统信息(msinfo32.exe)将安全启动状态 PCR7 绑定报告为“不可能”。
- Windows UEFI CA 2023 证书存在于设备的安全启动签名数据库(DB)中,使设备有资格将 2023 签名的 Windows 引导管理器设为默认。
- 设备尚未运行 2023 签名的 Windows 引导管理器。
在此方案中,只需输入一次 BitLocker 恢复密钥 - 只要组策略配置保持不变,后续重启就不会触发 BitLocker 恢复界面。 有关查找 BitLocker 恢复密钥的帮助,请参阅 查找 BitLocker 恢复密钥一文。
在安装此更新前,建议企业审核其 BitLocker 组策略,确认是否明确包含 PCR7,并检查 msinfo32.exe 的 PCR7 绑定状态。 (请参阅下面的解决方法。)
解决方法
在安装更新之前删除组策略配置 (建议)
- 打开组策略编辑器(gpedit.msc)或你的组策略管理控制台。
- 导航到: 计算机配置 > 管理模板 > Windows 组件 > BitLocker 驱动器加密 > 操作系统驱动器。
- 将“为本机 UEFI 固件配置 TPM 平台验证配置文件”设置为“未配置”。
- 在受影响的设备上运行以下命令以传播策略更改: gpupdate /force
- 运行以下命令以挂起 BitLocker (,其中在 C: 驱动器上启用了 BitLocker) : manage-bde -protectors -disable C:
- 运行以下命令以恢复 BitLocker (,其中在 C: 驱动器上启用了 BitLocker) : manage-bde -protectors -enable C:
- 这会更新 BitLocker 绑定以使用 Windows 选择的默认 PCR 配置文件。
计划在将来的 Windows 更新中永久解决此问题。 更多信息将在可用时提供。
Windows Server Update Services (WSUS) 不显示错误详细信息
安装 KB5070884 或更高版本更新后,Windows Server Update Services (WSUS) 不会在其错误报告中显示同步错误详细信息。 此功能暂时删除,以解决远程代码执行漏洞 CVE-2025-59287。
与远程桌面相关的警告可能无法正确显示
症状
安装此更新后,在某些情况下,打开远程桌面 (RDP) 文件时显示 的安全警告 可能不会正确显示。
如果使用具有不同显示缩放设置的多个监视器, (例如,一台显示器设置为 100%,另一台显示器设置为 125%) ,则可能会出现此问题。 发生这种情况时,警告窗口可能会显示重叠的文本或部分隐藏的按钮,这可能会使消息难以阅读或与之交互。
解决方法
此问题已在 KB5087545 中得到解决。
如何获取此更新
安装此更新
若要安装此更新,请使用以下 Windows 和 Microsoft 发布通道之一。
| 可用 | 下一步 |
|---|---|
|
此更新仅在Microsoft更新目录中可用。 |
如果要删除 LCU
注意
- 谨慎 在决定删除此更新之前,请参阅 了解风险:为何不应卸载安全更新。
- 若要在安装组合的 SSU 和 LCU 包后删除 LCU,请使用 DISM/Remove-Package 命令行选项和 LCU 包名称作为参数。 可以使用以下命令查找包名称:DISM /online /get-packages。
- 在组合包上使用 /uninstall 开关运行Windows 更新独立安装程序 (wusa.exe) 将不起作用,因为组合包包含 SSU。 安装后,无法从系统中删除 SSU。
文件信息
有关此更新中提供的文件列表,请下载 带外更新55091575的文件信息。
有关服务堆栈更新中提供的文件列表,请下载 SSU (KB5082137) - 版本 20348.5021 的文件信息。