Windows 安全启动证书过期
重要提示: 大多数 Windows 设备使用的安全启动证书从 2026 年 6 月开始过期。 若未能及时更新,这可能会影响某些个人和企业设备安全启动的能力。 为避免中断,建议查看指南并提前采取措施更新证书。
有关 Windows 设备的详细信息和准备步骤,请参阅Windows 安全启动证书过期和 CA 更新。
有关 Windows 服务器的详细信息和准备步骤,请参阅以下资源:
摘要
本文列出了此安全更新中包含的安全问题和质量改进。
适用于: Windows Server 2016
此安全更新包括以下更新的修补程序和改进:
下面是此更新所解决的问题的摘要。 括号中的粗体文本表示我们记录的更改的项目或区域。
-
[Windows 组件服务 (WinCS) ] 此更新解决了影响 Windows 10 版本 1607 和 Windows Server 2016 上的 Windows 组件服务 (WinCS) 的问题。 缺少一些 WinCS 组件。 因此,无法使用 WinCS 打开安全启动。
-
[远程桌面] 此更新改进了对使用远程桌面 (.rdp) 文件的钓鱼攻击的防护。 打开 .rdp 文件时,远程桌面在连接前会显示所有请求的连接设置,每个设置默认处于关闭状态。 首次在设备上打开 .rdp 文件时,也会显示一次性安全警告。 有关详细信息,请参阅 了解在打开远程桌面 (RDP) 文件时的安全警告。
-
[Windows 部署服务 (WDS) ] 默认情况下,此更新在 WDS 中禁用“免手动部署”功能,不再支持此功能。 有关此更改的详细信息,请参阅与 CVE-2026-0386 相关的 Windows 部署服务 (WDS) Hands-Free 部署强化指南。
-
[Kerberos 协议] 此更新更改 Kerberos 密钥分发中心的默认 DefaultDomainSupportedEncTypes 值 (KDC) 操作,以便对未定义显式 msds-SupportedEncryptionTypes Active Directory 属性的帐户利用 AES-SHA1。 有关详细信息,请参阅 如何管理与 CVE-2026-20833 相关的服务帐户票证颁发更改的 Kerberos KDC 使用情况。
-
[安全启动] 通过此更新,Windows 质量更新包括面向数据的其他高置信度设备,从而扩大有资格自动接收新安全启动证书的设备覆盖范围。 设备只有在演示了足够成功的更新信号、保持受控的分阶段推出后,才会收到新证书。
如果已安装较早的更新,那么此程序包中只有新的更新程序会下载并安装到设备上。
有关安全漏洞的详细信息,请参阅新的安全更新指南网站和 2026 年 4 月安全汇报。
有关Windows 10版本 1607 的详细信息,请参阅其更新历史记录页。
有关 Windows 更新术语的信息,请参阅有关 Windows 更新类型和每月质量更新类型的文章。
此更新中的已知问题
Microsoft 目前不知道此更新的任何问题。
适用于: Windows 10 企业版 LTSB 2016 和 Windows 10 IoT 企业版 2016 LTSB
此安全更新包括以下更新的修补程序和改进:
下面是此更新所解决的问题的摘要。 括号中的粗体文本表示我们记录的更改的项目或区域。
-
[Windows 组件服务 (WinCS) ] 此更新解决了影响 Windows 10 版本 1607 和 Windows Server 2016 上的 Windows 组件服务 (WinCS) 的问题。 缺少一些 WinCS 组件。 因此,无法使用 WinCS 打开安全启动。
-
[远程桌面] 此更新改进了对使用远程桌面 (.rdp) 文件的钓鱼攻击的防护。 打开 .rdp 文件时,远程桌面在连接前会显示所有请求的连接设置,每个设置默认处于关闭状态。 首次在设备上打开 .rdp 文件时,也会显示一次性安全警告。 有关详细信息,请参阅 了解在打开远程桌面 (RDP) 文件时的安全警告。
-
[安全启动] 通过此更新,Windows 质量更新包括面向数据的其他高置信度设备,从而扩大有资格自动接收新安全启动证书的设备覆盖范围。 设备只有在演示了足够成功的更新信号、保持受控的分阶段推出后,才会收到新证书。
如果已安装较早的更新,那么此程序包中只有新的更新程序会下载并安装到设备上。
有关安全漏洞的详细信息,请参阅新的安全更新指南网站和 2026 年 4 月安全汇报。
有关Windows 10版本 1607 的详细信息,请参阅其更新历史记录页。
有关 Windows 更新术语的信息,请参阅有关 Windows 更新类型和每月质量更新类型的文章。
此更新中的已知问题
Microsoft 目前不知道此更新的任何问题。
如何获取此更新
安装此更新之前
若要安装 2025 年 1 月 14 日或之后发布的更新,建议首先安装最新的 Serviceing Stack Update (SSU) 。 如果设备或脱机映像未安装最新的 SSU,则可能无法安装此更新。
谨慎 在安装 SSU 之前,可能不会向设备提供此更新。 若要降低安全风险,请尽快安装 SSU。
-
如果使用Windows 更新,系统会自动为你提供最新的 SSU (KB5082089) 。 如果未安装最新的 SSU,则可能无法安装此更新。
-
如果使用 Windows 更新 for Business,系统会自动为你提供最新的 SSU (KB5082089) 。 如果未安装最新的 SSU,则可能无法安装此更新。
-
如果使用更新目录,建议下载并安装最新的 SSU (KB5082089) 。 如果未安装最新的 SSU,则可能无法安装此更新。
-
如果你是Windows Server Update Services (WSUS) 管理员,则必须批准 SSU KB5082089,并且此更新KB5082198。
有关 SSU 的一般信息,请参阅 服务堆栈更新。
安装此更新
若要安装此更新,请使用以下 Windows 和 Microsoft 发布通道之一。
|
可用 |
下一步 |
|
|
此更新会通过 Windows 更新自动下载并安装。 |
|
可用 |
下一步 |
|
|
将根据配置的策略,从 Windows 更新 for Business 自动下载并安装此更新。 |
|
可用 |
下一步 |
|
|
若要获取此更新的独立包,请转到 Microsoft更新目录 网站。 有关如何从更新目录下载和安装更新的信息,请参阅如何从Windows 更新目录中下载包含驱动程序和修补程序的更新。 |
|
可用 |
下一步 |
|
|
如果按如下所示配置产品和分类,此更新将自动与 Windows Server Update Services (WSUS) 同步:
若要将 WSUS 服务器设置为基于产品和分类进行同步,请参阅 按产品和分类同步更新。 若要手动将更新导入 WSUS,请参阅 使用 PowerShell 将更新导入 WSUS。 |
文件信息
在 CSV (逗号分隔) (*.csv) 文件中提供了此更新中包含的文件列表。 文件可以在文本编辑器(如记事本)或 Microsoft Excel 中打开。
注意: 此软件更新的英语 (美国) 版本可能包含其他语言的文件。
相关信息
有关Microsoft应用商店应用程序更新的通知
Windows 更新不会安装Microsoft应用商店应用程序更新。 如果你是企业用户,请参阅 Microsoft 应用商店应用 - Configuration Manager。 如果你是使用者用户,请参阅 在 Microsoft Store 中获取应用和游戏的更新。
终止支持信息
Windows Server 2016 和 Windows 10 2016 LTSB 终止支持
在以下结束日期,Microsoft 将不再提供来自 Windows 更新的软件更新、技术协助或安全修补程序:
♦ Windows 10 企业版 LTSB 2016: 2026 年 10 月 13 日
♦ Windows 10 IoT 企业版 2016 LTSB:2026 年 10 月 13 日
♦ Windows Server 2016:2027 年 1 月 12 日
有关详细信息,请参阅计划 Windows Server 2016 和 Windows 10 2016 LTSB 终止支持。
