注意
- Windows 安全启动证书过期
- 重要: 大多数 Windows 设备使用的安全启动证书从 2026 年 6 月开始过期。 过去几个月来,Microsoft 一直在消费者和未托管的业务设备上更新这些证书。 未收到较新证书的设备 将继续启动并正常运行,标准 Windows 更新将继续安装。 在未来几个月内,我们将继续通过 Windows 更新安装较新的证书。
- 可以在Windows 安全中心应用上检查电脑状态。 如果你是 IT 管理员,请按照适用于 Windows 客户端和Windows Server的安全启动 Playbook 上的指南进行操作。
摘要
本文列出了此安全更新中包含的安全问题和质量改进。
适用于:2019 Windows Server
此安全更新包括以下更新的修补程序和质量改进:
下面是此更新在安装此更新时所解决的问题的摘要。 括号中的粗体文本表示我们记录的更改的项目或区域。
[PowerShell (已知问题) ]已修复:安装 2026 年 1 月 13 日或之后发布的 Windows 更新后,Windows Server 2019 的日语语言安装可能无法在 PowerShell 控制台中正确显示日语字符。
[远程桌面] 此更新改进了对使用远程桌面 (.rdp) 文件的钓鱼攻击的防护。 打开 .rdp 文件时,远程桌面在连接前会显示所有请求的连接设置,每个设置默认处于关闭状态。 首次在设备上打开 .rdp 文件时,也会显示一次性安全警告。 有关详细信息,请参阅 了解在打开远程桌面 (RDP) 文件时的安全警告。
[易受攻击的驱动程序阻止列表] 此更新引入了安全强化更改,可将已知的易受攻击的内核驱动程序添加到Microsoft易受攻击的驱动程序阻止列表。 依赖于被阻止驱动程序的备份应用程序在尝试装载或管理磁盘映像时可能会遇到故障。
这些依赖于被阻止驱动程序的应用可能会显示错误消息,包括“备份失败,因为Microsoft VSS 在创建快照期间超时”或VSS_E_BAD_STATE。 受影响的用户应更新到其应用程序的较新版本,该版本使用包含所需保护的较新驱动程序。 有关详细信息,请参阅 2026 年 4 月 Windows 安全更新引入了对已知易受攻击内核驱动程序的保护。[Windows 部署服务 (WDS) ] 默认情况下,此更新在 WDS 中禁用“免手动部署”功能,不再支持此功能。 有关此更改的详细信息,请参阅 与 CVE-2026-0386 相关的 Windows 部署服务 (WDS) Hands-Free 部署强化指南。
[Kerberos 协议] 此更新更改 Kerberos 密钥分发中心的默认 DefaultDomainSupportedEncTypes 值 (KDC) 操作,以便对未定义显式 msds-SupportedEncryptionTypes Active Directory 属性的帐户利用 AES-SHA1。 有关详细信息,请参阅 如何管理与 CVE-2026-20833 相关的服务帐户票证颁发更改的 Kerberos KDC 使用情况。
[安全启动]
- 此更新在 Windows 安全中心 应用 (设置>更新 & 安全性>Windows 安全中心) 中启用安全启动状态的动态状态报告。 通过锁屏提醒和通知详细了解状态警报。 请注意,这些增强功能在商业设备和服务器上默认处于禁用状态。
- 此更新修复了可能导致设备在安全启动更新后进入 BitLocker 恢复的问题。
- 通过此更新,Windows 质量更新包括面向数据的其他高置信度设备,从而扩大有资格自动接收新安全启动证书的设备覆盖范围。 设备只有在演示了足够成功的更新信号、保持受控的分阶段推出后,才会收到新证书。
如果已安装较早的更新,那么此程序包中只有新的更新程序会下载并安装到设备上。
有关安全漏洞的详细信息,请参阅新的安全更新指南网站和 2026 年 4 月安全汇报。
有关 Windows 更新术语的信息,请参阅有关 Windows 更新类型和每月质量更新类型的文章。 有关Windows 10 版本 1809的概述,请参阅其更新历史记录页。
此更新中的已知问题
安装此更新后,域控制器可能会反复重启
症状
安装此更新后,使用 特权访问管理 (PAM) 的林中具有多个域的环境中的域控制器可能会在启动期间遇到 LSASS 崩溃。 因此,受影响的域控制器可能会反复重启,导致身份验证和目录服务无法正常运行,并可能导致域不可用。
解决方案
此问题已在带外更新 KB5091573中得到解决。
远程桌面安全警告可能无法正确显示
症状
安装此更新后,在某些情况下,打开远程桌面 (RDP) 文件时显示 的安全警告 可能不会正确显示。
如果使用具有不同显示缩放设置的多个监视器, (例如,一台显示器设置为 100%,另一台显示器设置为 125%) ,则可能会出现此问题。 发生这种情况时,警告窗口可能会显示重叠的文本或部分隐藏的按钮,这可能会使消息难以阅读或与之交互。
解决方案此问题已在 2026 年 5 月 12 日及之后发布的 Windows 更新中得到解决, (例如 KB5087538) 。 建议为设备安装最新的 Windows 更新,因为它包含重要的改进和问题解决方法(包括此项)。
Windows 10服务堆栈更新 (KB5082118) - 版本 17763.8642
Microsoft 现在将操作系统的最新服务堆栈更新 (SSU) 与最新的累积更新 (LCU) 组合在一起。 SU 提高了更新过程的可靠性,并包括对服务堆栈(安装 Windows 更新的组件)的修复。
注意:此服务堆栈更新 (SSU) 包含增强的逻辑,用于验证设备是否托管在Azure,并利用更新的证书链进行验证。 若要确保设备可以访问所需的证书更新域以成功下载和安装证书更新,请参阅证书下载和吊销列表和Azure证书颁发机构详细信息。 若要了解有关 SU 的详细信息,请参阅 服务堆栈更新。
如何获取此更新
安装此更新之前
安装此累积更新之前, 必须已安装 2021 年 8 月 10 日 SSU (KB5005112) 。
安装此更新
若要安装此更新,请使用以下Microsoft发布通道之一。
| 可用 | 下一步 |
|---|---|
|
此更新会通过 Windows 更新自动下载并安装。 |
文件信息
在 CSV (逗号分隔) (*.csv) 文件中提供了此更新中包含的文件列表。 文件可以在文本编辑器(如记事本)或 Microsoft Excel 中打开。
注意:此软件更新的英语 (美国) 版本可能包含其他语言的文件。
下载 累积更新KB5082123的文件信息。
下载Windows 10服务堆栈更新 (KB5082118) -版本 17763.8642 的文件信息。
相关信息
如果要删除此更新
注意
- 谨慎 在决定删除此更新之前,请参阅 了解风险:为何不应卸载安全更新。
- 若要在安装组合的 SSU 和 LCU 包后删除 LCU,请使用 DISM/Remove-Package 命令行选项和 LCU 包名称作为参数。 可以使用以下命令查找包名称:DISM /online /get-packages。
- 在组合包上使用 /uninstall 开关运行Windows 更新独立安装程序 (wusa.exe) 将不起作用,因为组合包包含 SSU。 安装后,无法从系统中删除 SSU。
有关Microsoft应用商店应用程序更新的通知
注意
Windows 更新不会安装Microsoft应用商店应用程序更新。 如果你是企业用户,请参阅 Microsoft 应用商店应用 - Configuration Manager。 如果你是使用者用户,请参阅 在 Microsoft Store 中获取应用和游戏的更新。
终止支持信息
注意
- Windows Server 2019 和 Windows 10 企业版 LTSC 2019 终止支持
- 在以下结束日期,Microsoft 将不再提供来自 Windows 更新的软件更新、技术协助或安全修补程序:
- ♦Windows 10 企业版 LTSC 2019:2029 年 1 月 9 日
- ♦2019 Windows Server:2029 年 1 月 9 日
- 建议升级到更高版本的 Windows Server。
更改日志
| 更改日期 | 更改说明 |
|---|---|
| 2026 年 5 月 12 日 |
|
| 2026 年 5 月 1 日 |
|
| 2026 年 4 月 23 日 |
|
| 2026 年 4 月 19 日 |
|
| 2025 年 4 月 17 日 |
|
| 2026 年 4 月 16 日 |
|