2026 年 6 月 9 日 - KB5094125(操作系统内部版本 26100.32995)
应用对象
发布日期:
2026/6/9
版本:
OS 内部版本 26100.32995
此累积更新适用于 Windows Server 2025 (KB5094125) ,包括最新的安全修补程序和改进,以及上个月可选预览版的非安全更新。 若要详细了解安全更新、可选非安全预览更新、带外 (OOB) 更新和持续创新之间的差异,请参阅 Windows 月度更新说明。 有关 Windows 更新术语的信息,请参阅不同类型的 Windows 软件更新。
若要查看有关此版本的最新更新,请访问 Windows 版本运行状况仪表板或 Windows Server 2025 的更新历史记录页。
公告和消息
本部分提供与此版本相关的重要通知,包括公告、更改日志和支持终止通知。
Windows 安全启动证书过期
重要提示:大多数 Windows 设备使用的安全启动证书从 2026 年 6 月开始过期。 过去几个月来,Microsoft一直在使用者和非托管业务设备上更新这些证书。 未收到较新证书的设备将继续启动并正常运行,标准 Windows 更新将继续安装。 在未来几个月内,更新的证书将继续通过Windows 更新传递。
|
更改日期 |
更改说明 |
|
2026 年 6 月 10 日 |
更新:添加了 文件夹自定义项。 |
改进
此安全更新包含 2026 年 5 月 12 日发布的 KB5087539 () 的修补程序和质量改进 。 以下摘要概述了此更新解决的关键问题。 此外,还包括可用的新功能。 括号中的粗体文本指示更改的项目或区域。
-
[安全启动]
-
通过此更新,Windows 质量更新包括面向数据的其他高置信度设备,从而扩大有资格自动接收新安全启动证书的设备覆盖范围。 设备只有在演示了足够成功的更新信号、保持受控的分阶段推出后,才会收到新证书。
-
此更新在计算机配置 > 管理模板 > Windows 组件 > 安全启动下添加 LimitSecureBootRequiredServiceData组策略 和移动设备管理 (MDM) 设置。 启用后,Windows 通过取消通常发送到Microsoft的事件来限制它发送的安全启动服务数据。 此策略包含在 Windows 受限流量限制功能基线中。 有关策略的信息,请参阅管理从Windows 10和Windows 11操作系统组件到Microsoft服务的连接。
-
-
[启动管理器服务更新 (已知问题) ] 已修复:此更新解决了某些设备在具有某些受信任的平台模块 (TPM) 验证设置(包括无效的 PCR7 (平台配置寄存器 7) 配置)上更新启动文件后,某些设备可能会进入 BitLocker 恢复的问题。 安装 2026 年 4 月安全更新 (KB5082063) 后,可能会出现这种情况。
-
[文件资源管理器]此更新改进了文件资源管理器搜索,包括对中文文本的支持,以及没有字节顺序标记的 UTF 8 编码文件 (BOM) 。 文本现在在搜索结果、内容视图和工具提示之间更清晰、更一致地显示。
-
[网络] 新增功能! Windows Server 2025 DNS 服务器现在支持通过 HTTPS (DoH) 进行 DNS,从而在服务器和客户端之间启用加密 DNS 通信。 DoH 通过保护 DNS 查询不被查看并防止对 DNS 响应进行未经授权的修改,帮助改善隐私和安全性。 此功能已正式发布,并与现有 DNS 基础结构和管理工作流兼容。注意: 此支持仅适用于服务器-客户端通信,不支持服务器之间的加密 DNS 通信。
-
[可靠性] 此更新通过更高效地管理系统资源来提高用户配置文件加载期间的可靠性。
-
[Windows 更新部署 (已知问题) ] 已修复:此更新解决了 Windows Server 2025 中的问题,即使用 Windows 更新 独立安装程序 (WUSA) 安装的更新可能会失败并ERROR_BAD_PATHNAME错误代码。 双击 .msu 文件或从包含多个 .msu 文件的网络共享运行 WUSA 时,可能会出现此问题。
-
[文件夹自定义] 此更新对 Windows 处理 desktop.ini 文件的方式引入了安全强化更改。 因此,某些用户可能会注意到下载或远程位置中的内容缺少自定义文件夹图标或本地化文件夹名称。 请注意,对文件夹的访问不受影响。 有关详细信息,请参阅安装 2026 年 6 月 Windows 安全更新后,自定义文件夹图标或本地化文件夹名称可能不会显示。
如果已安装以前的更新,则设备将仅下载并安装此包中包含的新更新。
有关安全漏洞的详细信息,请参阅安全更新指南和 2026 年 6 月安全汇报。
Windows Server 2025 服务堆栈更新 (KB5094137) - 26100.32985
此更新对服务堆栈进行了质量改进,服务堆栈是安装 Windows 更新的组件。 服务堆栈更新 (SSU) 可确保你拥有强大且可靠的服务堆栈,让你的设备可以接收和安装 Microsoft 更新。 若要详细了解 SU,请参阅 简化服务堆栈更新的本地部署。
此更新中的已知问题
安装 KB5070881 或更高版本更新后,Windows Server Update Services (WSUS) 不会在其错误报告中显示同步错误详细信息。 此功能已暂时移除,以解决远程执行代码漏洞 CVE-2025-59287。
如何获取此更新
安装此更新之前
Microsoft将操作系统的最新服务堆栈更新 (SSU) 与最新的累积更新 (LCU) 相结合。 有关 SSU 的一般信息,请参阅 服务堆栈更新。
部署
如果将动态更新(如此更新)部署到现有 Windows 映像,请确保 boot.stl 文件包含在安装媒体中。 未能包含文件可能会阻止设备从安装媒体成功启动,并可能导致错误代码 0xc0430001。
注意: boot.stl 文件在安全启动验证期间使用,并且必须与要更新的映像的 Windows 版本和体系结构匹配。
若要确保 boot.stl 文件包含在安装媒体中,请执行下列操作之一:
-
使用 更新 WinPE 脚本更新现有 Windows 映像。 (推荐)
-
在部署更新之前,手动将 boot.stl 文件从设备 Windows\Boot\EFI 文件夹复制到安装媒体上的相应文件夹。
有关如何将动态更新包应用于现有 Windows 映像的信息,请参阅 使用动态更新更新 Windows 安装媒体。
安装此更新
若要安装此更新,请使用以下 Windows 和 Microsoft 发布通道之一。
|
可用 |
下一步 |
|
|
|
此更新从 Windows 更新 和 Microsoft Update 自动下载并安装。 |
|
可用 |
下一步 |
|
|
此更新根据配置的策略从 Windows 更新 for Business 自动下载并安装。 |
|
可用 |
下一步 |
|||||
|
|
若要从 Microsoft更新目录安装此版本,请按照以下说明操作:在安装此更新之前,可从 Microsoft 更新目录网站获取此更新的独立包 () 。 此 KB 包含一个或多个需要按特定顺序安装的 MSU 文件。 可以使用方法 1 (将所有 MSU 文件一起安装) 或方法 2 (单独安装每个 MSU 文件,以便) 安装此更新。 方法 1:将所有 MSU 文件一起安装 从 Microsoft 更新目录中下载KB5094125的所有 MSU 文件,并将其放置在同一文件夹中, (例如 C:/Packages) 。 使用 部署映像服务和管理 (DISM.exe) 安装目标更新。 DISM 将使用 PackagePath 中指定的文件夹根据需要发现和安装一个或多个必备 MSU 文件。 更新 Windows 电脑 若要将此更新应用于正在运行的 Windows 电脑,请从提升的命令提示符运行以下命令:
或者,从提升的Windows PowerShell提示符运行以下命令:
或使用Windows 更新独立安装程序安装目标更新。 更新 Windows 安装媒体 若要将此更新应用于 Windows 安装媒体,请参阅 使用动态更新更新 Windows 安装媒体。 注意: 下载其他动态更新包时,请确保它们与此 KB 的月份匹配。 如果 SafeOS 动态更新或安装程序动态更新在此 KB 的同一个月内不可用,请使用每个版本的最近发布的版本。 若要将此更新添加到已装载的映像,请从提升的命令提示符运行以下命令:
或者,从提升的Windows PowerShell提示符运行以下命令:
方法 2:按顺序单独安装每个 MSU 文件 使用 DISM 或 Windows 更新独立安装程序按以下顺序单独下载并安装每个 MSU 文件:
|
|
可用 |
下一步 |
|
|
如果按如下所示配置产品和分类,此更新将自动与 Windows Server Update Services (WSUS) 同步: 产品:Microsoft服务器操作系统-24H2 分类:安全更新 |
文件信息
有关此更新中提供的文件列表, 请下载累积更新5094125的文件信息。
有关服务堆栈更新中提供的文件列表, 请下载 SSU (KB5094137) - 版本 26100.32985 的文件信息。
需要更多帮助?
需要更多选项?
了解订阅权益、浏览培训课程、了解如何保护设备等。
社区可帮助你提出和回答问题、提供反馈,并听取经验丰富专家的意见。
