2026 年 4 月 14 日 - KB5082198(OS 内部版本 14393.9060)

应用对象
Windows Server 2016, all editions Win 10 Ent LTSB 2016 Win 10 IoT Ent LTSB 2016

注意

  • Windows 安全启动证书过期
  • 重要: 大多数 Windows 设备使用的安全启动证书从 2026 年 6 月开始过期。 过去几个月来,Microsoft 一直在消费者和未托管的业务设备上更新这些证书。 未收到较新证书的设备 将继续启动并正常运行,标准 Windows 更新将继续安装。 在未来几个月内,我们将继续通过 Windows 更新安装较新的证书。
  • 可以在Windows 安全中心应用上检查电脑状态。 如果你是 IT 管理员,请按照适用于 Windows 客户端和Windows Server的安全启动 Playbook 上的指南进行操作

摘要

本文列出了此安全更新中包含的安全问题和质量改进。


适用范围:Windows Server 2016

此安全更新包括以下更新的修补程序和改进:

下面是此更新所解决的问题的摘要。 括号中的粗体文本表示我们记录的更改的项目或区域。

  • [Windows 配置系统 (WinCS) ]此更新解决了影响 Windows 10 版本 1607 和 Windows Server 2016 上的 Windows 配置系统 (WinCS) 的问题。 缺少一些 WinCS 组件。 因此,无法使用 WinCS 打开安全启动。
  • [远程桌面] 此更新改进了对使用远程桌面 (.rdp) 文件的钓鱼攻击的防护。 打开 .rdp 文件时,远程桌面在连接前会显示所有请求的连接设置,每个设置默认处于关闭状态。 首次在设备上打开 .rdp 文件时,也会显示一次性安全警告。 有关详细信息,请参阅 了解在打开远程桌面 (RDP) 文件时的安全警告
  • [Windows 部署服务 (WDS) ] 默认情况下,此更新在 WDS 中禁用“免手动部署”功能,不再支持此功能。 有关此更改的详细信息,请参阅 与 CVE-2026-0386 相关的 Windows 部署服务 (WDS) Hands-Free 部署强化指南
  • [Kerberos 协议] 此更新更改 Kerberos 密钥分发中心的默认 DefaultDomainSupportedEncTypes 值 (KDC) 操作,以便对未定义显式 msds-SupportedEncryptionTypes Active Directory 属性的帐户利用 AES-SHA1。 有关详细信息,请参阅 如何管理与 CVE-2026-20833 相关的服务帐户票证颁发更改的 Kerberos KDC 使用情况
  • [安全启动] 通过此更新,Windows 质量更新包括面向数据的其他高置信度设备,从而扩大有资格自动接收新安全启动证书的设备覆盖范围。 设备只有在演示了足够成功的更新信号、保持受控的分阶段推出后,才会收到新证书。

如果已安装较早的更新,那么此程序包中只有新的更新程序会下载并安装到设备上。

有关安全漏洞的详细信息,请参阅新的安全更新指南网站和 2026 年 4 月安全汇报

有关Windows 10版本 1607 的详细信息,请参阅其更新历史记录页

有关 Windows 更新术语的信息,请参阅有关 Windows 更新类型和每月质量更新类型的文章。

此更新中的已知问题

  • 安装此更新后,域控制器可能会反复重启

    症状
    安装此更新后,使用 特权访问管理 (PAM) 的林中具有多个域的环境中的域控制器可能会在启动期间遇到 LSASS 崩溃。 因此,受影响的 DC 可能会重复重启,阻止身份验证和目录服务正常运行,并可能导致域不可用。
    解决方案
    此问题在带外更新 KB5091572中得到解决。

  • 远程桌面安全警告可能无法正确显示
    症状
    安装此更新后,在某些情况下,打开远程桌面 (RDP) 文件时显示 的安全警告 可能不会正确显示。
    如果使用具有不同显示缩放设置的多个监视器, (例如,一台显示器设置为 100%,另一台显示器设置为 125%) ,则可能会出现此问题。 发生这种情况时,警告窗口可能会显示重叠的文本或部分隐藏的按钮,这可能会使消息难以阅读或与之交互。
    解决方案
    此问题已在 2026 年 5 月 12 日及之后发布的 Windows 更新中得到解决, (例如 KB5087537) 。 建议为设备安装最新的 Windows 更新,因为它包含重要的改进和问题解决方法(包括此项)。

如何获取此更新

安装此更新之前

若要安装 2025 年 1 月 14 日或之后发布的更新,建议首先安装最新的 Serviceing Stack Update (SSU) 。 如果设备或脱机映像未安装最新的 SSU,则可能无法安装此更新。

注意

谨慎 在安装 SSU 之前,可能不会向设备提供此更新。 若要降低安全风险,请尽快安装 SSU。

  • 如果使用Windows 更新,系统会自动为你提供最新的 SSU (KB5082089) 。 如果未安装最新的 SSU,则可能无法安装此更新。
  • 如果使用 Windows 更新 for Business,系统会自动为你提供最新的 SSU (KB5082089) 。 如果未安装最新的 SSU,则可能无法安装此更新。
  • 如果使用更新目录,建议下载并安装最新的 SSU (KB5082089) 。 如果未安装最新的 SSU,则可能无法安装此更新。
  • 如果你是Windows Server Update Services (WSUS) 管理员,则必须批准 SSU KB5082089,并且此更新KB5082198。

有关 SSU 的一般信息,请参阅 服务堆栈更新

安装此更新

若要安装此更新,请使用以下 Windows 和 Microsoft 发布通道之一。


可用 下一步
可用 此更新会通过 Windows 更新自动下载并安装。

文件信息

在 CSV (逗号分隔) (*.csv) 文件中提供了此更新中包含的文件列表。 文件可以在文本编辑器(如记事本)或 Microsoft Excel 中打开。

注意:此软件更新的英语 (美国) 版本可能包含其他语言的文件。

下载图标 下载 累积更新KB5082198的文件信息。

有关Microsoft应用商店应用程序更新的通知

注意

Windows 更新不会安装Microsoft应用商店应用程序更新。 如果你是企业用户,请参阅 Microsoft 应用商店应用 - Configuration Manager。 如果你是使用者用户,请参阅 在 Microsoft Store 中获取应用和游戏的更新

终止支持信息

注意

更改日志

更改日期 更改说明
2026 年 5 月 12 日
  • 添加了已知问题“远程桌面安全警告可能无法正确显示”的解决方法
2026 年 4 月 23 日
  • 添加了已知问题“远程桌面安全警告可能无法正确显示”。
2026 年 4 月 22 日
  • 已将 WinCS 的名称更正为 Windows 配置系统。
2026 年 4 月 19 日
  • 添加了已知问题“域控制器可能会在安装此更新后重复重启”的解决方法。
2025 年 4 月 17 日
  • 已知问题“域控制器可能会在安装此更新后重复重启”进行了更新,以便进行说明。
2026 年 4 月 16 日
  • Windows Server 2016添加了已知问题:“域控制器可能会在安装此更新后重复重启”