Windows 安全启动证书过期重要提示:大多数 Windows 设备使用的安全启动证书设置为从 2026 年 6 月开始过期。 若未能及时更新,这可能会影响某些个人和企业设备安全启动的能力。 为避免中断,建议查看指南并提前采取措施更新证书。 有关详细信息和准备步骤,请参阅 Windows 安全启动证书过期和 CA 更新。
若要了解有关 Windows 更新术语的详细信息,请参阅 Windows 更新类型和每月质量更新类型。 有关概述,请参阅 Windows 11 版本 24H2 的更新历史记录页。
随时了解最新信息! 按照@WindowsUpdate获取 Windows 版本运行状况仪表板中的最新更新。
改进和修复
安全更新包括质量改进。 以下摘要概述了此更新解决的关键问题。
-
[应用兼容性 (已知问题) ] 已修复:解决了导致非管理员用户在执行某些 自定义作时收到意外的用户帐户控制 (UAC) 提示的问题。 在初始安装应用程序期间,这些作可能包括前台或后台的配置或修复作。
此问题可能会阻止非管理员用户运行执行 MSI 修复的应用,包括 Office Professional Plus 2010 以及 Autodesk (包括AutoCAD) 在内的多个应用程序。 此修复缩小了 MSI 修复需要 UAC 提示的范围,并使 IT 管理员能够通过将 UAC 提示添加到允许列表来禁用特定应用的 UAC 提示。有关详细信息,请参阅 安装 2025 年 8 月 Windows 安全更新后运行 MSI 修复作时出现意外的 UAC 提示。
如果已安装以前的更新,则设备将仅下载并安装此包中包含的新更新。
此更新中的已知问题
症状 我们注意到一个边缘案例影响已安装 2025 年 9 月热修补更新 (KB5065474) 或 2025 年 9 月安全更新 (KB5065426) 的热修补设备。 当主机和来宾虚拟机 (VM) 均未完全更新时,这些设备可能会遇到 PowerShell Direct (PSDirect) 连接故障。当修补的来宾 VM 尝试连接到未修补的主机 (反之亦然) 时,系统应回退到旧式握手并正常清理套接字。 但是,此回退机制间歇性地失败,导致套接字清理问题。 连接失败可能显示为随机,并且用户可能会在 Windows 事件查看器的安全事件日志中观察到记录的事件 ID 4625。
解决方法
此问题已在 KB5066360 中得到解决。 如果热修补设备遇到 PSDirect 连接问题,我们建议使用这些更新同时更新主机和来宾 VM。
如何获取此更新
安装此更新之前
Microsoft将作系统的最新服务堆栈更新 (SSU) 与热补丁更新相结合。 有关 SSU 的一般信息,请参阅服务堆栈更新和服务堆栈汇报 (SSU) :常见问题。
如果使用的是 Windows 更新,则最新的 SSU 会随此更新一起安装。
安装此更新
若要安装此更新,请使用以下 Windows 和 Microsoft 发布通道之一。
|
发布频道 |
可用 |
后续步骤 |
|
Windows 更新 |
|
此更新会自动从 Windows 更新和Microsoft更新下载并安装 |
|
目录 |
|
参阅其他选项。 |
|
Server Update Services |
|
参阅其他选项。 |
文件信息
有关此更新中提供的文件列表, 请下载累积更新5065474的文件信息。
有关服务堆栈更新中提供的文件列表, 请下载 SSU (KB5064531) - 版本 26100.5074 的文件信息。
注意: 热补丁现已正式发布,适用于 Windows 11 版本 24H2 (Arm64) 设备。 若要开始,检查先决条件,禁用已编译的混合 PE (CHPE) ,并在启用了热补丁的质量更新策略中注册设备。 有关详细信息,请参阅 先决条件。
改进和修复
安全更新包括质量改进。 以下摘要概述了此更新解决的关键问题。
-
[应用兼容性 (已知问题) ] 已修复:解决了导致非管理员用户在执行某些 自定义作时收到意外的用户帐户控制 (UAC) 提示的问题。 在初始安装应用程序期间,这些作可能包括前台或后台的配置或修复作。
此问题可能会阻止非管理员用户运行执行 MSI 修复的应用,包括 Office Professional Plus 2010 以及 Autodesk (包括AutoCAD) 在内的多个应用程序。 此修复缩小了 MSI 修复需要 UAC 提示的范围,并使 IT 管理员能够通过将 UAC 提示添加到允许列表来禁用特定应用的 UAC 提示。有关详细信息,请参阅 安装 2025 年 8 月 Windows 安全更新后运行 MSI 修复作时出现意外的 UAC 提示。
如果已安装以前的更新,则设备将仅下载并安装此包中包含的新更新。
此更新中的已知问题
症状 我们注意到一个边缘案例影响已安装 2025 年 9 月热修补更新 (KB5065474) 或 2025 年 9 月安全更新 (KB5065426) 的热修补设备。 当主机和来宾虚拟机 (VM) 均未完全更新时,这些设备可能会遇到 PowerShell Direct (PSDirect) 连接故障。当修补的来宾 VM 尝试连接到未修补的主机 (反之亦然) 时,系统应回退到旧式握手并正常清理套接字。 但是,此回退机制间歇性地失败,导致套接字清理问题。 连接失败可能显示为随机,并且用户可能会在 Windows 事件查看器的安全事件日志中观察到记录的事件 ID 4625。
解决方法
此问题已在 KB5066360 中得到解决。 如果热修补设备遇到 PSDirect 连接问题,我们建议使用这些更新同时更新主机和来宾 VM。
如何获取此更新
安装此更新之前
Microsoft将作系统的最新服务堆栈更新 (SSU) 与热补丁更新相结合。 有关 SSU 的一般信息,请参阅服务堆栈更新和服务堆栈汇报 (SSU) :常见问题。
如果使用的是 Windows 更新,则最新的 SSU 会随此更新一起安装。
若要使用热补丁更新,设备必须满足以下要求:
-
Windows 11 企业版版本 24H2 (内部版本 26100.4929 或更高版本) ,并安装了当前基线更新。
-
Microsoft Intune启用了热补丁的 Windows 质量更新策略 (请参阅“注册 Arm64 设备以接收热补丁更新”) 。
-
符合条件的许可证:Windows 11 企业版 E3 或 E5、Microsoft 365 F3、Windows 11 教育版 A3 或 A5、Microsoft 365 商业高级版或Windows 365 企业版。
-
基于虚拟化的安全性 (VBS) 启用。
有关详细信息,请参阅热补丁先决条件。
一次性设置:禁用 CHPE 以在 Arm64 上启用热补丁
若要在 Arm64 设备上启用热修补,还必须禁用 CHPE。 CHPE 是与热补丁更新不兼容的兼容层。
-
使用 DisableCHPE 策略。 通过Microsoft Intune或组策略 (CSP) 设置应用以下配置服务提供程序,然后重启设备一次。 有关详细信息,请参阅 系统策略 CSP。./Device/Vendor/MSFT/Policy/Config/Hotpatch/DisableCHPE = 1
-
使用注册表项。 还可以将以下注册表项值设置为 1,然后重启设备一次。HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management\HotPatchRestrictions = 1
你的 Arm64 设备现已准备好热补丁! 有关详细信息,请参阅 DisableCHPE。
注册 Arm64 设备以接收热补丁更新
若要注册设备以接收热补丁更新,请执行以下作:
-
导航到 “设备 > Windows 更新 > 质量更新”。
-
如果要创建新策略,请选择“ 创建 Windows 质量更新策略”。 若要编辑现有策略,请从 “名称”下的列表中选择它。 在以下屏幕上,选择“设置”旁边的 “编辑 ”。
-
在 “自动更新部署设置”旁边,确保“如果可用,在不重启设备的情况下应用”选项设置为 “允许”。
-
将策略分配给 Arm64 设备组。
请参阅注册设备以接收热补丁更新中的完整指南。
安装此更新
若要安装此更新,请使用以下 Windows 和 Microsoft 发布通道之一。
|
发布频道 |
可用 |
后续步骤 |
|
Windows 更新 |
|
此更新会自动从 Windows 更新和Microsoft更新下载并安装 |
|
目录 |
|
参阅其他选项。 |
|
Server Update Services |
|
参阅其他选项。 |
文件信息
有关此更新中提供的文件列表, 请下载累积更新5065474的文件信息。
有关服务堆栈更新中提供的文件列表, 请下载 SSU (KB5064531) - 版本 26100.5074 的文件信息。
