2025 年 9 月 9 日 - KB5065426(操作系统内部版本 26100.6584)
应用对象
发布日期:
2025/9/9
版本:
OS 内部版本 26100.6584
Windows 安全启动证书过期重要提示:大多数 Windows 设备使用的安全启动证书设置为从 2026 年 6 月开始过期。 若未能及时更新,这可能会影响某些个人和企业设备安全启动的能力。 为避免中断,建议查看指南并提前采取措施更新证书。 有关详细信息和准备步骤,请参阅 Windows 安全启动证书过期和 CA 更新。
若要了解有关 Windows 更新术语的详细信息,请参阅 Windows 更新类型和每月质量更新类型。 有关概述,请参阅 Windows Server 2025 的更新历史记录页。
随时了解最新信息! 按照@WindowsUpdate获取 Windows 版本运行状况仪表板中的最新更新。
改进
此安全更新包含 2025 年 8 月 12 日发布的 KB5063878 () 的修补程序和质量改进。 以下摘要概述了此更新解决的关键问题。 此外,还包括可用的新功能。 括号中的粗体文本指示更改的项目或区域。
-
[设置]
-
新功能! 在“设置 > 系统 > 关于”下的新常见问题解答部分查找有关Windows Server常见问题的解答。 它涵盖了系统设置、性能和兼容性等主题 ,所有这些内容都位于一个位置。
-
新增功能! 在“设置” > 蓝牙 & 设备的“> 打印机 & 扫描仪”下重命名打印机的对话框现在与Windows Server外观相匹配。
-
新增 功能! 现在,鼠标设置 >辅助功能 > 鼠标和鼠标指针和触摸,无需打开控制面板即可访问鼠标设置。 你将找到“鼠标指针速度”和“提高鼠标指针精度”的更新图标,以及用于自定义鼠标指示器、指针跟踪和悬停激活时间的选项。
-
-
[任务栏]
-
新增功能! 管理员可以配置任务栏策略,以便用户可以取消固定特定应用,确保在下次策略刷新期间不会重新固定这些应用。 若要启用此功能,请使用新的 PinGeneration 选项。
-
已修复:使用 Tab 和 Shift + Tab 围绕任务栏移动键盘焦点时,如果至少向后移动一次,则可以将键盘焦点卡在任务栏框架上,这可能会导致屏幕阅读器只说“窗格”。
-
已修复:登录时,键盘焦点可能会意外设置为任务栏中的小组件,这可能会导致小组件打开。
-
-
[语音访问]
-
新功能! 语音访问现在包括突出新功能和改进的产品内体验。 随时使用设置菜单打开或关闭它。
-
新功能! 可以在时钟附近的屏幕右下角的“快速设置”中的“辅助功能”下找到语音访问权限。 若要打开“快速设置”,请选择网络、音量或电池图标。
-
已修复:语音访问在听写时可能会停止响应,出现错误“正在处理”。
-
-
[语音键入] 新建!你可以控制不雅内容筛选器。 当你打开它时,它会用星号屏蔽不雅内容。 当你将其关闭时,字词将显示为“已说”。 若要更改设置,请 (Win + H) 打开语音键入,选择设置图标,然后打开“筛选不雅内容”开关。
-
[Windows 共享]
-
新功能! 对通过 Windows 共享窗口共享的图像进行最后一分钟的编辑,例如裁剪、旋转和添加筛选器。
-
新功能! 从文件资源管理器或桌面拖动本地文件时,屏幕顶部会显示一个托盘。 将文件拖放到建议的应用或选择“更多”以打开 Windows 共享窗口。
-
新增功能! 将支持直接共享的应用添加到文件资源管理器或桌面上的本地文件的右键单击菜单。
-
-
[BitLocker]已修复:此更新解决了在可移动驱动器上使用 BitLocker 的设备在从睡眠状态或混合启动恢复后可能会遇到蓝屏错误的问题。
-
[蓝牙] 已修复:加载有关蓝牙设备的信息时,设置可能会停止响应。
-
[启动菜单屏幕] 已修复:此更新解决了早期启动屏幕(如 BitLocker PIN、BitLocker 恢复密钥和启动菜单屏幕)呈现缓慢的问题。
-
[显示] 已修复:某些设备从睡眠状态唤醒后,屏幕大小和窗口位置可能会发生意外更改。
-
[文件资源管理器] 已修复:如果在从主页执行搜索时断开了网络驱动器的连接,则可能会阻止执行搜索,并且你仍保留在主页上。
-
[输入]
-
已修复:使用中文 (简体) 窄布局时,无法从触摸键盘开始语音键入。
-
已修复:使用触摸键盘的“符号”部分时,按键更改页面可能会意外地在密码字段中插入字符。
-
已修复:从远程桌面会话断开连接后,某些应用中的键入可能会停止工作。
-
-
[JPG]已修复:使用 CopyPixels 时,像素在某些情况下可能会意外反转。
-
[内存泄漏] 已修复:此更新解决了输入服务中导致内存使用量增加的问题,从而可能影响多用户、多语言和远程桌面使用的性能。
-
[Microsoft 管理控制台 (MMC) ] 已修复:改进了选择项目时 MMC 中使用的颜色(通常和启用对比度模式时)。
-
[网络]已修复:此更新解决了Windows Server 2025 在新域控制器上始终将网络显示为“公共”的问题。 它现在在使用环回地址之前检查域控制器名称,以确保在 LDAP) 绑定 (适当的轻型目录访问协议。
-
[打印] 已修复:非管理员用户无法卸载他们添加的打印机。
-
[打印] 为了实现安全目标并支持新的打印功能,此更新将 Windows 打印组件从 MSVCRT 转换为新式 通用 C 运行时库。
由于此更改,打印客户端在 Windows 10 版本 2004 和 Windows Server 版本 2004 (内部版本号 19041) 之前运行 Windows 版本 24H2 或 25H2 的远程打印服务器将有意无法打印到运行 Windows 11、版本 24H2 或 25H2 的远程打印服务器,并Windows Server已安装此更新或更高版本的 2025。 尝试从不受支持的打印客户端打印到更新的打印服务器将失败,并出现以下错误之一:
-
此计算机上未安装打印机驱动程序。 除非安装打印驱动程序,否则无法访问某些打印机属性。
-
Windows 无法连接到打印机。
若要解决此问题, (1) 将打印客户端升级到 Windows 10、版本 22H2 或 Windows 的较新版本;或者, (2) 配置在 Windows 10 版本 22H2 之前发布的打印客户端,以使用预Windows Server 2025 打印服务器。
-
-
[USB] 已修复:某些 USB 设备可能会在睡眠后断开连接,直到重启电脑。
-
[应用兼容性 (已知问题) ] 已修复:解决了导致非管理员用户在执行某些 自定义作时收到意外的用户帐户控制 (UAC) 提示的问题。 在初始安装应用程序期间,这些作可能包括前台或后台的配置或修复作。
此问题可能会阻止非管理员用户运行执行 MSI 修复的应用,包括 Office Professional Plus 2010 以及 Autodesk (包括AutoCAD) 在内的多个应用程序。 此修复缩小了 MSI 修复需要 UAC 提示的范围,并使 IT 管理员能够通过将 UAC 提示添加到允许列表来禁用特定应用的 UAC 提示。
有关详细信息,请参阅 安装 2025 年 8 月 Windows 安全更新后运行 MSI 修复作时出现意外的 UAC 提示。
-
[文件服务器]此更新启用了对 SMB 服务器签名以及 SMB 服务器 EPA 的 SMB 客户端兼容性的审核。 这样,客户就可以在部署 SMB Server 已支持的强化措施之前评估其环境并识别任何潜在的设备或软件不兼容问题。 有关详细指南,请参阅 CVE-2025-55234。
-
[PowerShell 2.0] 从 2025 年 9 月开始,Windows Server 2025 将不再包含 Windows PowerShell 2.0。 此旧组件已在 Windows 7 中引入,并在 2017 年正式弃用。 大多数用户不会受到影响,因为较新版本(如 PowerShell 5.1 和 PowerShell 7.x)仍然可用且受支持。 如果使用依赖于 PowerShell 2.0 的旧脚本或工具,请更新它们以避免兼容性问题。
如果已安装以前的更新,则设备将仅下载并安装此包中包含的新更新。
有关安全漏洞的详细信息,请参阅安全更新指南和 2025 年 9 月安全汇报。
Windows Server 2025 服务堆栈更新 (KB5064531) - 26100.5074
此更新对服务堆栈进行了质量改进,服务堆栈是安装 Windows 更新的组件。 服务堆栈更新 (SSU) 可确保你拥有强大且可靠的服务堆栈,让你的设备可以接收和安装 Microsoft 更新。 若要详细了解 SU,请参阅 简化服务堆栈更新的本地部署。
此更新中的已知问题
症状 我们注意到一个边缘案例影响已安装 2025 年 9 月热修补更新 (KB5065474) 或 2025 年 9 月安全更新 (KB5065426) 的热修补设备。 当主机和来宾虚拟机 (VM) 均未完全更新时,这些设备可能会遇到 PowerShell Direct (PSDirect) 连接故障。当修补的来宾 VM 尝试连接到未修补的主机 (反之亦然) 时,系统应回退到旧式握手并正常清理套接字。 但是,此回退机制间歇性地失败,导致套接字清理问题。 连接失败可能显示为随机,并且用户可能会在 Windows 事件查看器的安全事件日志中观察到记录的事件 ID 4625。
解决方法
此问题已在 KB5066360 中得到解决。 如果热修补设备遇到 PSDirect 连接问题,我们建议使用这些更新同时更新主机和来宾 VM。
症状
安装 2025 年 9 月 9 日或之后发布的 Windows 更新后,你可能无法在 TCP/IP 上的 NetBIOS (NetBT) 使用服务器消息块 (SMB) v1 协议连接到共享文件和文件夹。 如果 SMB 客户端或 SMB 服务器安装了 2025 年 9 月的安全更新,则可能会出现此问题。
注意:SMBv1 协议已弃用,默认情况下不再安装在 Windows 和 Windows Server 的新式版本中。 使用较新版本的协议 SMBv2 或 SMBv3 的部署不受此问题的影响。
解决方法
此问题已在 KB5066835 中得到解决。
症状
在 Windows Server 2025 上运行并运行架构主机灵活单主机操作 (FSMO) 角色的 Active Directory 域控制器 (DC) 将允许架构对象的属性中存在重复条目。 通常受影响的属性包括值为 msExchBaseClass、msExchContainer 和 msExchVirtualDirectoryFlags 等的 auxiliaryClass、 possSuperiors、mayContain。
发生这种情况时,Active Directory 复制会失败并出现架构不匹配错误,例如错误 8418:复制操作失败,因为所涉及的服务器之间的架构不匹配。”
运行 Exchange Server 安装程序 forestprep 且 Active Directory 的架构主机角色正在运行 Windows Server 2025 时,可以观察到此问题。 这会中断整个 Active Directory 企业环境中的复制,因为域控制器之间的架构现在不一致。
注意: 该问题似乎自 Windows Server 2025 的初始版本起就已存在,但最新的 Exchange Server 累积更新(适用于 Exchange Server SE)公开了此问题。
解决方法
要解决此问题,请手动移除 AD 架构中的重复条目。 如果需要帮助生成脚本以帮助移除重复条目,请联系 Microsoft的业务支持部门。
此问题正在调查,其他信息可用后将会立即共享。
症状
安装 2025 年 9 月安全更新 (KB5065426) 后,将 Active Directory 目录同步 (DirSync) 控件用于本地 Active Directory 域服务 (AD DS) 的应用程序(例如例如使用 Microsoft Entra Connect Sync)可能会导致超过 10,000 名成员的大型 AD 安全组的同步不完整。
解决方法
对于已安装受影响更新并遇到此问题的 IT 部门管理的企业托管设备,可以使用 已知问题回滚 (KIR) 来缓解此问题。 IT 管理员可以通过安装和配置下面列出的特殊组策略来解决此问题。
包含组策略名称的组策略下载:
下载适用于 Windows 11 版本 24H2 和 25H2 以及 Windows Server 2025 的组策略 - Windows 11 24H2、Windows 11 25H2 和 Windows Server 2025 KB5066835 251016_21401 已知问题回滚
在“计算机配置”>“管理模板”>“Windows 11 24H2、Windows 11 25H2 和 Windows Server 2025 KB5066835 251016_21401 已知问题回滚”中可以找到该特殊组策略。 有关部署和配置这些特殊组策略的信息,请参阅 如何使用组策略部署已知问题回滚。
重要: 需要安装和配置适用于 Windows Server 2025 的组策略。 然后重启 Windows Server 2025 以应用组策略设置。 (Windows 11 不在此通知和指南的范围内。)
或者,受影响的客户可以通过应用以下注册表项作为禁用功能更改的解决方法。
警告: 使用注册表编辑器或其他方法修改注册表不当可能会出现严重问题。 这些问题可能需要你重新安装操作系统。 Microsoft 无法保证可以解决这些问题。 修改注册表的风险由您自行承担。 有关详细信息,请参阅面向高级用户的 Windows 注册表。
路径:Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Policies\Microsoft\FeatureManagement\Overrides
名称:2362988687
类型:REG_DWORD
值:0
此问题正在调查,其他信息可用后将会立即共享。
如何获取此更新
安装此更新之前
Microsoft现在将作系统的最新服务堆栈更新 (SSU) 与最新的累积更新 (LCU) 相结合。 有关 SSU 的一般信息,请参阅服务堆栈更新和服务堆栈更新 (SSU):常见问题解答。
安装此更新
若要安装此更新,请使用以下 Windows 和 Microsoft 发布通道之一。
|
可用 |
下一步 |
 |
此更新从 Windows 更新 和 Microsoft Update 自动下载并安装。 |
|
可用 |
下一步 |
|
|
此更新根据配置的策略从 Windows 更新 for Business 自动下载并安装。 |
|
可用 |
下一步 |
||||
|
支持1 |
安装此更新之前 若要获取此更新的独立包 () ,请转到Microsoft更新目录网站。 此 KB 包含一个或多个需要按特定顺序安装的 MSU 文件。 安装此更新 方法 1:将所有 MSU 文件一起安装 从Microsoft更新目录中下载KB5065426的所有 MSU 文件,并将其放置在同一文件夹中, (例如 C:/Packages) 。 使用 部署映像服务和管理 (DISM.exe) 安装目标更新。 DISM 将使用 PackagePath 中指定的文件夹根据需要发现和安装一个或多个必备 MSU 文件。 更新 Windows 电脑 若要将此更新应用于正在运行的 Windows 电脑,请从提升的命令提示符运行以下命令:
或者,从提升的Windows PowerShell提示符运行以下命令:
或使用Windows 更新独立安装程序安装目标更新。 更新 Windows 安装媒体 若要将此更新应用于 Windows 安装媒体,请参阅使用动态更新更新 Windows 安装媒体。 注意: 下载其他动态更新包时,请确保它们与此 KB 的月份匹配。 如果 SafeOS 动态更新或安装程序动态更新在此 KB 的同一个月内不可用,请使用每个版本的最近发布的版本。 若要将此更新添加到已装载的映像,请从提升的命令提示符运行以下命令:
或者,从提升的Windows PowerShell提示符运行以下命令:
方法 2:按顺序单独安装每个 MSU 文件 使用 DISM 或 Windows 更新独立安装程序按以下顺序单独下载并安装每个 MSU 文件:
|
1 此最新累积更新包括 AI 组件的更新。尽管更新中包含 AI 组件更新,但 AI 组件仅适用于 Windows Copilot+ 电脑,不会安装在 Windows 电脑或Windows Server。
|
可用 |
下一步 |
|
|
如果按如下所示配置产品和分类,此更新将自动与 Windows Server Update Services (WSUS) 同步: 产品:Microsoft服务器作系统-24H2 分类:安全更新 |
如果要删除 LCU
若要在安装组合的 SSU 和 LCU 包后删除 LCU,请使用 DISM/Remove-Package 命令行选项,并将 LCU 包名称用作参数。 可以使用以下命令查找包名称:DISM /online /get-packages。
在组合包上使用 /uninstall 开关运行 Windows 更新 独立安装程序 (wusa.exe) 将不起作用,因为组合包包含 SSU。 安装后,无法从系统中删除 SSU。
文件信息
有关此更新中提供的文件列表, 请下载累积更新5065426的文件信息。
有关服务堆栈更新中提供的文件列表, 请下载 SSU (KB5064531) - 版本 26100.5074 的文件信息。
需要更多帮助?
需要更多选项?
了解订阅权益、浏览培训课程、了解如何保护设备等。
社区可帮助你提出和回答问题、提供反馈,并听取经验丰富专家的意见。
