应用对象
Windows Server, version 23H2

发布日期:

2026/4/14

版本:

OS 内部版本 25398.2274

此针对 Windows Server 版本 23H2 (KB5082060) 的累积更新包括最新的安全修补程序和改进,以及上个月可选预览版的非安全更新。 若要详细了解安全更新、可选非安全预览更新、带外 (OOB) 更新和持续创新之间的差异,请参阅 Windows 月度更新说明。 有关 Windows 更新术语的信息,请参阅不同类型的 Windows 软件更新。 

若要查看有关此版本的最新更新,请访问 Windows Server 版本 23H2 的更新历史记录页。

公告和消息

本部分提供与此版本相关的重要通知,包括公告、更改日志和支持终止通知。 

Windows 安全启动证书过期

重要提示: 大多数 Windows 设备使用的安全启动证书从 2026 年 6 月开始过期。 若未能及时更新,这可能会影响某些个人和企业设备安全启动的能力。 为避免中断,建议查看指南并提前采取措施更新证书。 有关详细信息和准备步骤,请参阅 Windows 安全启动证书过期和 CA 更新

更改日期

更改说明

2026 年 5 月 1 日

  • 添加了改进: [易受攻击的驱动程序阻止列表]

2026 年 4 月 19 日

添加了已知问题“域控制器可能会在安装此更新后重复重启”的解决方法。

2025 年 4 月 17 日

已知问题“域控制器可能会在安装此更新后重复重启”进行了更新,以便进行说明。

2025 年 4 月 16 日

已知问题已添加:“域控制器可能会在安装此更新后反复重启”

改进 

此安全更新包含 2026 年 3 月 10 日发布的 KB5078734 () 的修补程序和质量改进。 以下摘要概述了此更新解决的关键问题。 此外,还包括可用的新功能。 括号中的粗体文本指示更改的项目或区域。

  • [图形]

    • 此更新提高了某些 GPU 配置的稳定性。 它帮助游戏和 3D 应用在密集的图形使用期间更可靠地运行。

    • 此更新提高了影响某些 GPU 配置的稳定性,帮助设备更可靠地关闭。

  • [Kerberos 协议] 此更新更改 Kerberos 密钥分发中心的默认 DefaultDomainSupportedEncTypes 值, (KDC) 操作,以便对未定义显式 msds-SupportedEncryptionTypes Active Directory 属性的帐户利用 AES-SHA1。 有关详细信息,请参阅与 CVE-2026-0386 相关的 Windows 部署服务 (WDS) Hands-Free 部署强化指南

  • [网络] 当 Windows 通过 QUIC 使用 SMB 压缩时,此更新提高了可靠性。 安装此更新后,通过 QUIC 的 SMB 压缩请求会更加一致地完成,从而降低超时的可能性,并支持更流畅、更可靠的性能。

  • [远程桌面] 此更新改进了对使用远程桌面 (.rdp) 文件的钓鱼攻击的防护。 打开 .rdp 文件时,远程桌面在连接前会显示所有请求的连接设置,每个设置默认处于关闭状态。 首次在设备上打开 .rdp 文件时,也会显示一次性安全警告。 有关详细信息,请参阅 了解在打开远程桌面 (RDP) 文件时的安全警告。 

  • [安全启动] 此更新解决了在安全启动更新后设备可能进入 BitLocker 恢复的问题。

  • [易受攻击的驱动程序阻止列表] 此更新引入了安全强化更改,可将已知的易受攻击的内核驱动程序添加到Microsoft易受攻击的驱动程序阻止列表。 依赖于被阻止驱动程序的备份应用程序在尝试装载或管理磁盘映像时可能会遇到故障。  

    这些依赖于被阻止驱动程序的应用可能会显示错误消息,包括“备份失败,因为Microsoft VSS 在创建快照期间超时”或VSS_E_BAD_STATE。 受影响的用户应更新到其应用程序的较新版本,该版本使用包含所需保护的较新驱动程序。 有关详细信息,请参阅 2026 年 4 月 Windows 安全更新引入了对已知易受攻击内核驱动程序的保护。

  • [Windows 部署服务 (WDS) ]默认情况下,此更新在 WDS 中禁用“免手动部署”功能,不再支持此功能。 有关此更改的详细信息,请参阅与 CVE-2026-0386 相关的 Windows 部署服务 (WDS) Hands-Free 部署强化指南

如果已安装以前的更新,则设备将仅下载并安装此包中包含的新更新。

有关安全漏洞的详细信息,请参阅安全更新指南2026 年 4 月安全汇报。 

Windows Server版本 23H2 服务堆栈更新 (KB5086285) - 25398.2273

此更新对服务堆栈进行了质量改进,服务堆栈是安装 Windows 更新的组件。 服务堆栈更新 (SSU) 可确保你拥有强大且可靠的服务堆栈,让你的设备可以接收和安装 Microsoft 更新。 若要详细了解 SU,请参阅 简化服务堆栈更新的本地部署

此更新中的已知问题

症状

安装此更新后,使用 特权访问管理 (PAM) 的林中具有多个域的环境中的域控制器可能会在启动期间遇到 LSASS 崩溃。 因此,受影响的域控制器可能会反复重启,导致身份验证和目录服务无法正常运行,并可能导致域不可用。

解决方法

此问题已在带外更新 KB5091571中得到解决。

安装 KB5070879 或更高版本更新后,Windows Server Update Services (WSUS) 不会在其错误报告中显示同步错误详细信息。 此功能已暂时移除,以解决远程执行代码漏洞 CVE-2025-59287。 

如何获取此更新

安装此更新之前

Microsoft 现在将操作系统的最新服务堆栈更新 (SSU) 与最新的累积更新 (LCU) 组合在一起。 有关 SSU 的一般信息,请参阅 服务堆栈更新

安装此更新

若要安装此更新,请使用以下 Windows 和 Microsoft 发布通道之一。

可用

下一步

包括

此更新从 Windows 更新 和 Microsoft Update 自动下载并安装。

如果要删除此更新

警告: 在决定删除此更新之前,请参阅 了解风险:为何不应卸载安全更新

若要在安装组合的 SSU 和 LCU 包后删除 LCU,请使用 DISM/Remove-Package 命令行选项,并将 LCU 包名称用作参数。 可以使用以下命令查找包名称:DISM /online /get-packages

在组合包上使用 /uninstall 开关运行 Windows 更新 独立安装程序 (wusa.exe) 将不起作用,因为组合包包含 SSU。 安装后,无法从系统中删除 SSU。

文件信息 

有关此更新中提供的文件列表, 请下载累积更新5082060的文件信息

有关服务堆栈更新中提供的文件列表, 请下载 SSU (KB5086285) - 版本 25398.2273 的文件信息。 

订阅 RSS 源

需要更多帮助?

需要更多选项?

了解订阅权益、浏览培训课程、了解如何保护设备等。

Microsoft 365 订阅权益

Microsoft 365 培训

Microsoft 安全性

辅助功能中心