应用对象
Windows Server 2025, all editions

发布日期:

2025/11/11

版本:

OS 内部版本 26100.7171

此累积更新适用于 Windows Server 2025 (KB5068861) ,包括最新的安全修补程序和改进,以及上个月可选预览版的非安全更新。 若要详细了解安全更新、可选非安全预览更新、带外 (OOB) 更新和持续创新之间的差异,请参阅 Windows 月度更新说明。 有关 Windows 更新术语的信息,请参阅不同类型的 Windows 软件更新

若要查看有关此版本的最新更新,请访问 Windows 版本运行状况仪表板Windows Server 2025 的更新历史记录页。 

公告和消息

本部分提供与此版本相关的重要通知,包括公告、更改日志和支持终止通知。

Windows 安全启动证书过期

重要提示: 大多数 Windows 设备使用的安全启动证书从 2026 年 6 月开始过期。 若未能及时更新,这可能会影响某些个人和企业设备安全启动的能力。 为避免中断,建议查看指南并提前采取措施更新证书。 有关详细信息和准备步骤,请参阅 Windows 安全启动证书过期和 CA 更新

改进

此安全更新包含 2025 年 10 月 14 日 发布的 KB5066835 () 、2025 年 10 月 20 日发布的 KB5070773 () 以及 2025 10 月 23 日发布的 1 KB507088 () 的修补程序和质量改进。 以下摘要概述了此更新解决的关键问题。 此外,还包括可用的新功能。 括号中的粗体文本指示更改的项目或区域。 ​​​​

如果已安装以前的更新,则设备将仅下载并安装此包中包含的新更新。

  • [开始菜单] 新建!我们将向“配置开始固定”策略添加一个布尔选项,以允许管理员应用一次“开始”菜单固定。 这意味着用户将在第 0 天收到管理员 PIN,但随后可以对其“开始”开始固定布局进行任何更改,并保护这些更改。 

  • [后量子加密] 新增功能! 基于 SymCrypt 中的后量子加密 (PQC) 算法,此更新根据 FIPS 203 和 FIPS 204 标准添加了对 NIST 后量子加密算法 ML-KEMML-DSA 的 API 支持。 这些算法可用于通过加密进行 密钥交换签名和解密:下一代 (CNG) 和 。NET。 

  • [Active Directory (已知问题) ] 

    • 已修复:此更新解决了 Active Directory 中存在的问题,即重复条目可以添加到需要唯一值的多值属性中。 对这些属性的架构修改可能会导致复制失败,因为架构不匹配。

    • 已修复:此更新解决了在使用目录同步 (DirSync) 控制本地 Active Directory 域服务 (AD DS) ) 时,可能导致 (超过 10,000 个成员的大型 Active Directory 组同步不完整的问题。 在安装KB5065426和受影响的使用 DirSync 的应用(例如Microsoft Entra Connect Sync)后发生此问题。

  • [身份验证] 已修复:此更新解决了影响本地安全机构子系统服务 (LSASS) 的问题。 在计算机密码更改期间,LSASS 可能会停止响应特定审核设置。

  • [桌面图标] 已修复:如果已将应用固定到桌面并更新,则应用图标可能无法正确显示,而是显示一个白色页面。

  • [文件资源管理器]

    • 已修复:如果在文件资源管理器中打开“更多选项”以查看当前路径的文件夹的完整列表,则下拉菜单可能不会完全显示,导致底部部分不可访问。

    • 已修复:从应用显示文件时,文件作进度对话框可能会停止显示。

    • 已修复:在导航文件夹或打开上下文菜单时,将更多 SharePoint 网站同步到文件资源管理器可能会降低性能。 这也可能会影响文件启动的速度。

    • 已修复:文件资源管理器主页可能意外地仅显示单个文件夹 (例如桌面) ,而不是包含最新文件等的预期内容。

  • [图形] 在某些情况下,通过 Thunderbolt 连接的外部图形卡并不总是被识别的问题。

  • [通知] 已修复:选择 Windows 通知时,它可能不会按预期将相关应用带到前台,例如,Outlook 通知可能会发生这种情况。

  • [设置] 已修复:尝试保存 Wi-Fi 网络凭据时,设置可能会停止响应。

  • [稳定性问题] 此更新解决了在安装 2025 年 5 月安全更新和导致设备遇到稳定性问题的后续更新后在极少数情况下观察到的问题。 某些设备在特定情况下变得无响应并停止响应。

  • [Windows 防火墙 (已知问题) ]已修复:此更新解决了事件查看器事件 2042 for Windows 防火墙高级安全性中发现的问题。 事件显示为“配置读取失败”,并显示消息“更多数据可用”。 有关此问题的详细信息,请参阅 Windows 运行状况仪表板中的“Windows 防火墙记录了错误事件”。

  • [网络]

    • 修复了 (已知问题) :使用 Internet 信息服务 [IIS] 等 HTTP.sys (的 Web 服务器 ) 拒绝传入 HTTP 请求并出现 “NOT_SUPPORTED”错误。 安装 KB5066835 后可能会出现此问题。

    • 已修复:此更新修复了 HTTP.sys 请求分析器中的问题,这是一个读取和处理 HTTP 请求的 Windows 组件。 分析程序允许在 HTTP/1.1 区块扩展内单行中断,其中 RFC 9112 标准要求回车和换行符 (CRLF) 序列终止每个区块。 当前端代理是设置的一部分时,这可能会导致分析差异。若要关闭严格分析,请使用以下注册表项:

      注册表项: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Http\Parameters]

      注册表值: "HttpAllowLenientChunkExtParsing"=dword:00000001

      要设置的数据:1 

有关安全漏洞的详细信息,请参阅安全更新指南2025 年 11 月安全汇报

Windows Server 2025 服务堆栈更新 (KB5067035) - 26100.7010

此更新对服务堆栈进行了质量改进,服务堆栈是安装 Windows 更新的组件。 服务堆栈更新 (SSU) 可确保你拥有强大且可靠的服务堆栈,让你的设备可以接收和安装 Microsoft 更新。 若要详细了解 SU,请参阅 简化服务堆栈更新的本地部署

此更新中的已知问题

安装 KB5070881 或更高版本更新后,Windows Server Update Services (WSUS) 不会在其错误报告中显示同步错误详细信息。 此功能已暂时移除,以解决远程执行代码漏洞 CVE-2025-59287。 

如何获取此更新

安装此更新之前

Microsoft现在将作系统的最新服务堆栈更新 (SSU) 与最新的累积更新 (LCU) 相结合。 有关 SSU 的一般信息,请参阅服务堆栈更新服务堆栈更新 (SSU):常见问题解答

安装此更新

若要安装此更新,请使用以下 Windows 和 Microsoft 发布通道之一。

可用

下一步

包括

此更新从 Windows 更新 和 Microsoft Update 自动下载并安装。

如果要删除 LCU

若要在安装组合的 SSU 和 LCU 包后删除 LCU,请使用 DISM/Remove-Package 命令行选项,并将 LCU 包名称用作参数。 可以使用以下命令查找包名称:DISM /online /get-packages

在组合包上使用 /uninstall 开关运行 Windows 更新 独立安装程序 (wusa.exe) 将不起作用,因为组合包包含 SSU。 安装后,无法从系统中删除 SSU。

文件信息

有关此更新中提供的文件列表, 请下载累积更新5068861的文件信息。 

有关服务堆栈更新中提供的文件列表, 请下载 SSU (KB5067035) - 版本 26100.7010 的文件信息。 

订阅 RSS 源

需要更多帮助?

需要更多选项?

了解订阅权益、浏览培训课程、了解如何保护设备等。

Microsoft 365 订阅权益

Microsoft 365 培训

Microsoft 安全性

辅助功能中心