2026 年 6 月 9 日 - KB5094128(操作系统内部版本 20348.5256)

应用对象
Windows Server 2022

此累积更新适用于 Windows Server 2022 (KB5094128) ,包括最新的安全修补程序和改进,以及上个月可选预览版的非安全更新。 若要详细了解安全更新、可选非安全预览更新、带外 (OOB) 更新和持续创新之间的差异,请参阅 Windows 月度更新说明。 有关 Windows 更新术语的信息,请参阅不同类型的 Windows 软件更新

若要查看有关此版本的最新更新,请访问 Windows 版本运行状况仪表板Windows Server 2022 的更新历史记录页。

公告和消息

本部分提供与此版本相关的重要通知,包括公告、更改日志和支持终止通知。

Windows 安全启动证书过期

重要: 大多数 Windows 设备使用的安全启动证书从 2026 年 6 月开始过期。 过去几个月来,Microsoft一直在使用者和非托管业务设备上更新这些证书。 未收到较新证书的设备将继续启动并正常运行,标准 Windows 更新将继续安装。 在未来几个月内,更新的证书将继续通过Windows 更新传递。

更改日志
更改日期 更改说明
2026 年 6 月 23 日
  • 添加了改进: Windows 推送通知服务 (WNS)
  • 已知问题已添加:“文件资源管理器中的 OneDrive 快捷方式可能无法在管理员模式下工作”。
2026 年 6 月 18 日 已知问题已添加:“从回收站删除会显示内部文件名”。
2026 年 6 月 17 日 更正了5094128 CSV 文件,因为它指示版本为 20348.5257 不正确。 CSV 文件现在指示 正确的版本 20348.5256
2026 年 6 月 16 日 已知问题已添加:“Microsoft Office 应用程序可能无法从某些第三方应用打开”。
2026 年 6 月 10 日 更新:添加了 文件夹自定义 项。

改进

此安全更新包含 2026 年 5 月 12 日 发布的 KB5087545 () 的修补程序和质量改进。 以下摘要概述了此更新解决的关键问题。 此外,还包括可用的新功能。 括号中的粗体文本指示更改的项目或区域。

  • [安全启动]

    • 通过此更新,Windows 质量更新包括面向数据的其他高置信度设备,从而扩大有资格自动接收新安全启动证书的设备覆盖范围。 设备只有在演示了足够成功的更新信号、保持受控的分阶段推出后,才会收到新证书。
    • 此更新在计算机配置>管理模板>Windows 组件>安全启动下添加 LimitSecureBootRequiredServiceData 组策略和移动设备管理 (MDM) 设置。 启用后,Windows 通过取消通常发送到Microsoft的事件来限制它发送的安全启动服务数据。 此策略包含在 Windows 受限流量限制功能基线中。 有关策略的信息,请参阅管理从Windows 10和Windows 11操作系统组件到Microsoft服务的连接
  • [应用]此更新通过在 Windows 安全中心 应用中启用安全启动的实时状态更新,提高了设备安全性的可见性和可靠性。

  • [文件资源管理器] 此更新改进了文件资源管理器搜索,包括支持中文文本和没有字节顺序标记的 UTF 8 编码文件, (BOM) 。 文本现在在搜索结果、内容视图和工具提示之间更清晰、更一致地显示。

  • [文本和字体] 此更新通过添加新的沙特货币符号来改进 Windows 字体。 此更改有助于在 Windows 应用和体验中保持文本清晰、准确和直观一致。

  • [文件夹自定义] 此更新对 Windows 处理 desktop.ini 文件的方式引入了安全强化更改。 因此,某些用户可能会注意到下载或远程位置中的内容缺少自定义文件夹图标或本地化文件夹名称。 请注意,对文件夹的访问不受影响。 有关详细信息,请参阅 安装 2026 年 6 月 Windows 安全更新后,自定义文件夹图标或本地化文件夹名称可能不会显示

  • [Windows 推送通知服务 (WNS) ] 已修复:此更新解决了可能导致Microsoft Outlook 和其他使用 WNS 的应用程序停止响应 (挂起) 的问题。 此更新解决了基础问题并提高应用程序可靠性。

如果已安装以前的更新,则设备将仅下载并安装此包中包含的新更新。

有关安全漏洞的详细信息,请参阅安全更新指南2026 年 6 月安全汇报

Windows Server 2022 服务堆栈更新 (KB5094147) -20348.5251

此更新对服务堆栈进行了质量改进,服务堆栈是安装 Windows 更新的组件。 服务堆栈更新 (SSU) 可确保你拥有强大且可靠的服务堆栈,让你的设备可以接收和安装 Microsoft 更新。 若要详细了解 SU,请参阅 简化服务堆栈更新的本地部署

此更新中的已知问题

可能需要配置未经推荐的 BitLocker 组策略的设备才能输入其 BitLocker 恢复密钥

问题

安装此更新后,某些配置了不推荐的 BitLocker 组策略的设备可能需要在首次重启时输入其 BitLocker 恢复密钥。

此问题仅影响有限数量的系统,其中所有以下条件都为 true。 在不受 IT 部门管理的个人设备上,这些条件几乎不会满足。

  1. BitLocker 在 OS 驱动器上启用。
  2. 组策略“为本机 UEFI 固件配置 TPM 平台验证配置文件”已配置,且验证配置文件中包含 PCR7 (或手动设置了等效的注册表项)。
  3. 系统信息(msinfo32.exe)将安全启动状态 PCR7 绑定报告为“不可能”。
  4. Windows UEFI CA 2023 证书存在于设备的安全启动签名数据库(DB)中,使设备有资格将 2023 签名的 Windows 引导管理器设为默认。
  5. 设备尚未运行 2023 签名的 Windows 引导管理器。

在此方案中,只需输入一次 BitLocker 恢复密钥 - 只要组策略配置保持不变,后续重启就不会触发 BitLocker 恢复界面。 有关查找 BitLocker 恢复密钥的帮助,请参阅该文章: 查找 BitLocker 恢复密钥。

在安装此更新前,建议企业审核其 BitLocker 组策略,确认是否明确包含 PCR7,并检查 msinfo32.exe 的 PCR7 绑定状态。 (请参阅下面的解决方法。)

解决方法

在安装更新之前删除组策略配置 (建议)

  1. 打开组策略编辑器(gpedit.msc)或你的组策略管理控制台。
  2. 导航到:计算机配置 > 管理模板 > Windows 组件 > BitLocker 驱动器加密 > 操作系统驱动器。
  3. 将“为本机 UEFI 固件配置 TPM 平台验证配置文件”设置为“未配置”。
  4. 在受影响的设备上运行以下命令以传播策略更改: gpupdate /force
  5. 运行以下命令以暂停 BitLocker (C: 驱动器上启用 BitLocker 的位置): manage-bde -protectors -disable C:
  6. 运行以下命令以恢复 BitLocker (C: 驱动器上启用 BitLocker 的位置): manage-bde -protectors -enable C:
  7. 这会更新 BitLocker 绑定以使用 Windows 选择的默认 PCR 配置文件。

计划在将来的 Windows 更新中永久解决此问题。 更多信息将在可用时提供。

Windows Server Update Services (WSUS) 不显示错误详细信息

安装 KB5070884 或更高版本更新后,Windows Server Update Services (WSUS) 不会在其错误报告中显示同步错误详细信息。 此功能暂时删除,以解决远程代码执行漏洞 CVE-2025-59287

Microsoft Office 应用程序可能无法从某些第三方应用打开

症状

Microsoft 收到报告,指出在安装 2026 年 6 月 9 日或之后发布的 Windows 更新后,某些第三方应用程序可能无法启动 Microsoft Office 应用程序或打开文档。 此问题会影响使用 OLE 自动化 与 office 应用程序交互Microsoft某些第三方应用程序。 在某些情况下,Office 应用程序或文档可能无法打开,且不显示错误消息。

受影响的 Microsoft Office 应用程序可能包括 Word、Excel、PowerPoint、Access,以及从受影响的第三方应用程序内部启动的其他 Microsoft Office 应用程序。

报告显示,此问题可能影响 CCH Engagement、Workpaper Manager、牙科软件(如 Dentrix 和 Softdent)和 Zotero 等应用程序;其他类似应用程序也可能受到影响。

第三方信息免责声明

所列出的第三方产品由独立于 Microsoft 的公司制造。 对于这些产品的性能或可靠性,我们不作任何暗示保证或其他形式的保证

解决方法

解决方案正在处理中,并将包含在未来的 Windows 更新中。 如有更多信息,我们将及时分享。

要解决此问题,请直接打开应用程序或文档,而不是从受影响的第三方应用程序中启动它。

对于组织,已有解决方法可供受影响的设备使用。 若要在组织中应用此解决方法并缓解此问题,请联系 Microsoft 支持部门 for business

从回收站中删除会显示内部文件名

症状

安装于 2026 年 6 月 9 日发布的 Windows 更新后,当你永久删除单个项时,确认对话框可能会显示内部回收站文件名(例如,$Rxxxxx.ext),而不是原始文件名。 在回收站中,该项仍会显示其原始名称。

此问题仅影响确认对话框。 在回收站中,该项仍以其原始文件名显示。 如果还原该项,Windows 将使用原始文件名还原它。

解决方法

有一种解决方法适用于受影响的设备。 若要在组织中应用此解决方法并缓解此问题,请联系 Microsoft业务支持部门。

解决方案正在处理中,并将包含在未来的 Windows 更新中。 如有更多信息,我们将及时分享。

文件资源管理器中的 OneDrive 快捷方式可能无法在管理员模式下工作

症状

安装此更新后,当文件资源管理器以管理权限运行时,文件资源管理器中的 OneDrive 快捷方式可能不起作用。 症状包括无响应快捷方式、空白 OneDrive 属性和缺少同步状态图标。 不显示错误消息。

此问题仅影响内置管理员帐户或使用 管理员身份运行的应用程序。

解决方法

以下解决方法可用,不需要进行任何系统更改:

  1. 直接导航到 OneDrive 文件夹,通常位于 下 C:\Users\<username>\OneDrive
  2. 创建 OneDrive 文件夹的桌面快捷方式,并在使用提升的应用程序或内置管理员帐户时使用该快捷方式访问文件。

IT 管理员可以使用更全面的缓解措施。 如果受此问题影响,请联系 Microsoft 支持部门 for Business

如何获取此更新

安装此更新之前

Microsoft 现在将操作系统的最新服务堆栈更新 (SSU) 与最新的累积更新 (LCU) 组合在一起。 有关 SSU 的一般信息,请参阅 服务堆栈更新

脱机 OS 映像服务的先决条件:

请确保映像包含 KB5030216 (2023/09/12) 或更高版本的 LCU。 如果没有,请在安装最新更新之前将其安装在脱机媒体上。 此 LCU 将 SSU 版本更新为 20348.1960。 这是防止错误0x800f0823 (CBS_E_NEW_SERVICING_STACK_REQUIRED) 必须具有的最低 SSU 版本。

部署

如果将动态更新(如此更新)部署到现有 Windows 映像,请确保 boot.stl 文件包含在安装媒体中。 未能包含该文件可能会阻止设备从安装媒体成功启动,并可能导致错误代码 0xc0430001

注意

boot.stl 文件在安全启动验证期间使用,并且必须与要更新的映像的 Windows 版本和体系结构匹配。

若要确保 boot.stl 文件包含在安装媒体中,请执行下列操作之一:

  • 使用 更新 WinPE 脚本更新现有 Windows 映像。 (推荐)
  • 在部署更新之前,手动将 boot.stl 文件从设备 Windows\Boot\EFI 文件夹复制到安装媒体上的相应文件夹。

有关如何将动态更新包应用于现有 Windows 映像的信息,请参阅 使用动态更新更新 Windows 安装媒体

安装此更新

若要安装此更新,请使用以下 Windows 和 Microsoft 发布通道之一。


可用 下一步
包括 此更新从 Windows 更新 和 Microsoft Update 自动下载并安装。

文件信息

有关此更新中提供的文件列表,请下载累积更新5094128的文件信息

有关服务堆栈更新中提供的文件列表, 请下载 SSU (KB5094147) - 版本 20348.5251 的文件信息