应用对象
Windows Server 2022

发布日期:

2026/4/14

版本:

OS 内部版本 20348.5020

此累积更新适用于 Windows Server 2022 (KB5082142) ,包括最新的安全修补程序和改进,以及上个月可选预览版的非安全更新。 若要详细了解安全更新、可选非安全预览更新、带外 (OOB) 更新和持续创新之间的差异,请参阅 Windows 月度更新说明。 有关 Windows 更新术语的信息,请参阅不同类型的 Windows 软件更新

若要查看有关此版本的最新更新,请访问 Windows 版本运行状况仪表板Windows Server 2022 的更新历史记录页。

公告和消息

本部分提供与此版本相关的重要通知,包括公告、更改日志和支持终止通知。 

Windows 安全启动证书过期

重要提示: 大多数 Windows 设备使用的安全启动证书从 2026 年 6 月开始过期。 若未能及时更新,这可能会影响某些个人和企业设备安全启动的能力。 为避免中断,建议查看指南并提前采取措施更新证书。 有关详细信息和准备步骤,请参阅 Windows 安全启动证书过期和 CA 更新

更改日期

更改说明

2026 年 5 月 7 日

添加了对已知问题“与远程桌面相关的警告可能无法正确显示”的解决方法。

2026 年 5 月 1 日

  • 添加了改进: [易受攻击的驱动程序阻止列表]

2026 年 4 月 27 日

更正了已知问题“与远程桌面相关的警告可能无法正确显示”

2026 年 4 月 23 日

添加了已知问题:“与远程桌面相关的警告可能无法正确显示”

2026 年 4 月 21 日

已知问题已更新:“可能需要配置未经推荐的 BitLocker 组策略设备才能输入其 BitLocker 恢复密钥”

2026 年 4 月 19 日

添加了对已知问题“域控制器可能会在安装此更新后重复重启”的解决方法。

2025 年 4 月 17 日

已知问题“域控制器可能会在安装此更新后重复重启”进行了更新,以便进行说明。

2026 年 4 月 16 日

已知问题已添加:“域控制器可能会在安装此更新后反复重启”

2026 年 4 月 14 日

已知问题已添加:“可能需要配置未经推荐的 BitLocker 组策略设备才能输入其 BitLocker 恢复密钥”

改进

此安全更新包含 2026 年 3 月 10 日发布的 KB5078766 () 的修补程序和质量改进。 以下摘要概述了此更新解决的关键问题。 此外,还包括可用的新功能。 括号中的粗体文本指示更改的项目或区域。

  • [连接] 此更新提高了 Windows 中音频功能的可靠性,有助于减少与声音或音频活动相关的系统无响应。

  • [内核]此更新改进了大型文件操作期间的系统稳定性。 用户在处理或传输大型文件时应遇到更少的意外中断。

  • [Kerberos 协议] 此更新更改 Kerberos 密钥分发中心的默认 DefaultDomainSupportedEncTypes 值, (KDC) 操作,以便对未定义显式 msds-SupportedEncryptionTypes Active Directory 属性的帐户利用 AES-SHA1。 有关详细信息,请参阅 如何管理与 CVE-2026-20833 相关的服务帐户票证颁发更改的 Kerberos KDC 使用情况

  • [网络] 当 Windows 通过 QUIC 使用 SMB 压缩时,此更新提高了可靠性。 安装此更新后,通过 QUIC 的 SMB 压缩请求会更加一致地完成,从而降低超时的可能性,并支持更流畅、更可靠的性能。

  • [远程桌面] 此更新改进了对使用远程桌面 (.rdp) 文件的钓鱼攻击的防护。 打开 .rdp 文件时,远程桌面在连接前会显示所有请求的连接设置,每个设置默认处于关闭状态。 首次在设备上打开 .rdp 文件时,也会显示一次性安全警告。 有关详细信息,请参阅 了解在打开远程桌面 (RDP) 文件时的安全警告。 

  • [安全启动] 

    • 通过此更新,Windows 质量更新包括面向数据的其他高置信度设备,从而扩大有资格自动接收新安全启动证书的设备覆盖范围。 设备只有在演示了足够成功的更新信号、保持受控的分阶段推出后,才会收到新证书。

    • 此更新解决了在安全启动更新后设备可能进入 BitLocker 恢复的问题。

  • [文本和字体] 此更新通过添加新的沙特货币符号来改进 Windows 字体。 此更改有助于在 Windows 应用和体验中保持文本清晰、准确和直观一致。

  • [易受攻击的驱动程序阻止列表] 此更新引入了安全强化更改,可将已知的易受攻击的内核驱动程序添加到Microsoft易受攻击的驱动程序阻止列表。 依赖于被阻止驱动程序的备份应用程序在尝试装载或管理磁盘映像时可能会遇到故障。  

    这些依赖于被阻止驱动程序的应用可能会显示错误消息,包括“备份失败,因为Microsoft VSS 在创建快照期间超时”或VSS_E_BAD_STATE。 受影响的用户应更新到其应用程序的较新版本,该版本使用包含所需保护的较新驱动程序。 有关详细信息,请参阅 2026 年 4 月 Windows 安全更新引入了对已知易受攻击内核驱动程序的保护。

  • [Windows 部署服务 (WDS) ] 默认情况下,此更新在 WDS 中禁用“免手动部署”功能,不再支持此功能。 有关此更改的详细信息,请参阅与 CVE-2026-0386 相关的 Windows 部署服务 (WDS) Hands-Free 部署强化指南

如果已安装以前的更新,则设备将仅下载并安装此包中包含的新更新。

有关安全漏洞的详细信息,请参阅安全更新指南2026 年 4 月安全汇报

Windows Server 2022 服务堆栈更新 (KB5082137) -20348.5021

此更新对服务堆栈进行了质量改进,服务堆栈是安装 Windows 更新的组件。 服务堆栈更新 (SSU) 可确保你拥有强大且可靠的服务堆栈,让你的设备可以接收和安装 Microsoft 更新。 若要详细了解 SU,请参阅 简化服务堆栈更新的本地部署

此更新中的已知问题

症状

安装此更新后,使用 特权访问管理 (PAM) 的林中具有多个域的环境中的域控制器可能会在启动期间遇到 LSASS 崩溃。 因此,受影响的域控制器可能会反复重启,导致身份验证和目录服务无法正常运行,并可能导致域不可用。

解决方法

此问题已在带外更新 KB5091575中得到解决。

注意: 如果 Windows Server 2022 设备已在热修补中注册,则应改为KB5091576安装 OOB 热补丁更新。 此热补丁 OOB 更新通过 Windows 更新 发布,不需要重启设备。

症状

安装此更新后,某些配置了不推荐的 BitLocker 组策略的设备可能需要在首次重启时输入其 BitLocker 恢复密钥。

此问题仅影响有限数量的系统,其中所有以下条件都为 true。 在不受 IT 部门管理的个人设备上,这些条件几乎不会满足。

  1. BitLocker 在 OS 驱动器上启用。

  2. 组策略“为本机 UEFI 固件配置 TPM 平台验证配置文件”已配置,且验证配置文件中包含 PCR7 (或手动设置了等效的注册表项)。

  3. 系统信息(msinfo32.exe)将安全启动状态 PCR7 绑定报告为“不可能”。

  4. Windows UEFI CA 2023 证书存在于设备的安全启动签名数据库(DB)中,使设备有资格将 2023 签名的 Windows 引导管理器设为默认。

  5. 设备尚未运行 2023 签名的 Windows 引导管理器。

在此方案中,只需输入一次 BitLocker 恢复密钥 - 只要组策略配置保持不变,后续重启就不会触发 BitLocker 恢复界面。 有关查找 BitLocker 恢复密钥的帮助,请参阅 查找 BitLocker 恢复密钥一文。

在安装此更新前,建议企业审核其 BitLocker 组策略,确认是否明确包含 PCR7,并检查 msinfo32.exe 的 PCR7 绑定状态。 (请参阅下面的解决方法。)

解决方法 

在安装更新之前删除组策略配置 (建议)  

  1. 打开组策略编辑器(gpedit.msc)或你的组策略管理控制台。

  2. 导航到: 计算机配置 > 管理模板 > Windows 组件 > BitLocker 驱动器加密 > 操作系统驱动器

  3. 将“为本机 UEFI 固件配置 TPM 平台验证配置文件”设置为“未配置”。

  4. 在受影响的设备上运行以下命令以传播策略更改: gpupdate /force

  5. 运行以下命令以暂停 BitLocker (C: 驱动器上启用 BitLocker 的位置): manage-bde -protectors -disable C: 

  6. 运行以下命令以恢复 BitLocker (C: 驱动器上启用 BitLocker 的位置): manage-bde -protectors -enable C: 

  7. 这会更新 BitLocker 绑定以使用 Windows 选择的默认 PCR 配置文件。

计划在将来的 Windows 更新中永久解决此问题。 更多信息将在可用时提供。

安装 KB5070884 或更高版本更新后,Windows Server Update Services (WSUS) 不会在其错误报告中显示同步错误详细信息。 此功能已暂时移除,以解决远程执行代码漏洞 CVE-2025-59287。 

症状

安装此更新后,在某些情况下,打开远程桌面 (RDP) 文件时显示的安全警告可能不会正确显示。

如果使用具有不同显示缩放设置的多个监视器, (例如,一台显示器设置为 100%,另一台显示器设置为 125%) ,则可能会出现此问题。 发生这种情况时,警告窗口可能会显示重叠的文本或部分隐藏的按钮,这可能会使消息难以阅读或与之交互。

解决方法

此问题已在 KB5087545 中得到解决。

如何获取此更新

安装此更新之前

Microsoft现在将操作系统的最新服务堆栈更新 (SSU) 与最新的累积更新 (LCU) 相结合。 有关 SSU 的一般信息,请参阅 服务堆栈更新

脱机 OS 映像服务的先决条件:

请确保映像包含 KB5030216 (2023/09/12) 或更高版本的 LCU。 如果没有,请在安装最新更新之前将其安装在脱机媒体上。 此 LCU 将 SSU 版本更新为 20348.1960。 这是防止错误0x800f0823 (CBS_E_NEW_SERVICING_STACK_REQUIRED) 必须具有的最低 SSU 版本。

安装此更新

若要安装此更新,请使用以下 Windows 和 Microsoft 发布通道之一。

可用

下一步

包括

此更新从 Windows 更新 和 Microsoft Update 自动下载并安装。

如果要删除此更新

警告: 在决定删除此更新之前,请参阅 了解风险:为何不应卸载安全更新

若要在安装组合的 SSU 和 LCU 包后删除 LCU,请使用 DISM/Remove-Package 命令行选项,并将 LCU 包名称用作参数。 可以使用以下命令查找包名称:DISM /online /get-packages

在组合包上使用 /uninstall 开关运行 Windows 更新 独立安装程序 (wusa.exe) 将不起作用,因为组合包包含 SSU。 安装后,无法从系统中删除 SSU。

文件信息

有关此更新中提供的文件列表,请下载累积更新5082142的文件信息 。 

有关服务堆栈更新中提供的文件列表, 请下载 SSU (KB5082137) - 版本 20348.5021 的文件信息。 

订阅 RSS 源

需要更多帮助?

需要更多选项?

了解订阅权益、浏览培训课程、了解如何保护设备等。

Microsoft 365 订阅权益

Microsoft 365 培训

Microsoft 安全性

辅助功能中心