2026 年 4 月 14 日 - KB5083769(OS 内部版本 26200.8246 和 26100.8246)
应用对象
发布日期:
2026/4/14
版本:
OS 内部版本 26200.8246 和 26100.8246
此累积更新适用于 Windows 11 版本 25H2 和 24H2 (KB5083769) ,包括最新的安全修补程序和改进,以及上个月可选预览版的非安全更新。 若要详细了解安全更新、可选非安全预览更新、带外 (OOB) 更新和持续创新之间的差异,请参阅 Windows 月度更新说明。 有关 Windows 更新术语的信息,请参阅不同类型的 Windows 软件更新。
若要查看有关此版本的最新更新,请访问 Windows 版本运行状况仪表板或Windows 11版本 25H2 和 24H2 的更新历史记录页。
公告和消息
本部分提供与此版本相关的重要通知,包括公告、更改日志和支持终止通知。
Windows 安全启动证书过期
重要提示: 大多数 Windows 设备使用的安全启动证书从 2026 年 6 月开始过期。 若未能及时更新,这可能会影响某些个人和企业设备安全启动的能力。 为避免中断,建议查看指南并提前采取措施更新证书。 有关详细信息和准备步骤,请参阅 Windows 安全启动证书过期和 CA 更新。
|
更改日期 |
更改说明 |
|
2026 年 4 月 21 日 |
已知问题已更新:“可能需要配置未经推荐的 BitLocker 组策略设备才能输入其 BitLocker 恢复密钥” |
|
2026 年 4 月 14 日 |
已知问题已添加:“可能需要配置未经推荐的 BitLocker 组策略设备才能输入其 BitLocker 恢复密钥” |
改进
此安全更新包含 3 月 10 日发布的 KB5079473 (的修补程序和质量改进。 2026) 、 KB5085516 (2026 年 3 月 21 日发布) 、 KB5079391 2026 年 3 月 26 日发布的 (- 不再提供 ) ,KB5086672 (2026 年 3 月 31 日发布) 。 以下摘要概述了此更新解决的关键问题。 此外,还包括可用的新功能。 括号中的粗体文本指示更改的项目或区域。
-
[安全启动]
-
新功能! 设备上安全启动证书更新的状态可能会显示在Windows 安全中心应用中, (设置 > 隐私 & 安全 > Windows 安全中心) 。 通过锁屏提醒和通知详细了解状态警报。 商业设备上默认禁用这些增强功能。
-
通过此更新,Windows 质量更新包括面向数据的其他高置信度设备,从而扩大有资格自动接收新安全启动证书的设备覆盖范围。 设备只有在演示了足够成功的更新信号、保持受控的分阶段推出后,才会收到新证书。
-
此更新解决了在安全启动更新后设备可能进入 BitLocker 恢复的问题。
-
-
[网络] 当 Windows 通过 QUIC 使用 SMB 压缩时,此更新提高了可靠性。 安装此更新后,通过 QUIC 的 SMB 压缩请求会更加一致地完成,从而降低超时的可能性,并支持更流畅、更可靠的性能。
-
[远程桌面] 此更新改进了对使用远程桌面 (.rdp) 文件的钓鱼攻击的防护。 打开 .rdp 文件时,远程桌面在连接前会显示所有请求的连接设置,每个设置默认处于关闭状态。 首次在设备上打开 .rdp 文件时,也会显示一次性安全警告。 有关详细信息,请参阅 了解在打开远程桌面 (RDP) 文件时的安全警告。
-
[ (已知问题) 重置此电脑] 已修复:此更新解决了在使用“保留我的文件”或“删除所有内容”选项时可能导致设备重置失败的问题。 安装 2026 年 3 月 (KB5079420) Hotpatch 安全更新后,可能会出现这种情况。
如果已安装以前的更新,则设备将仅下载并安装此包中包含的新更新。
有关安全漏洞的详细信息,请参阅安全更新指南和 2026 年 4 月安全汇报。
AI 组件
此版本更新以下 AI 组件:
|
AI 组件 |
版本 |
|
图像搜索 |
1.2603.377.0 |
|
内容提取 |
1.2603.377.0 |
|
语义分析 |
1.2603.377.0 |
|
设置模型 |
1.2603.377.0 |
Windows 11服务堆栈更新 (KB5088467) - 26100.8247
此更新对服务堆栈进行了质量改进,服务堆栈是安装 Windows 更新的组件。 服务堆栈更新 (SSU) 可确保你拥有强大且可靠的服务堆栈,让你的设备可以接收和安装 Microsoft 更新。 若要详细了解 SU,请参阅 简化服务堆栈更新的本地部署。
此更新中的已知问题
症状
安装此更新后,某些配置了未推荐的 BitLocker 组策略 的设备可能需要在首次重启时输入其 BitLocker 恢复密钥。
此问题仅影响有限数量的系统,其中所有以下条件都为 true。 在不受 IT 部门管理的个人设备上不太可能发现这些情况。
-
在 OS 驱动器上启用了 BitLocker。
-
配置组策略“为本机 UEFI 固件配置配置 TPM 平台验证配置文件”,并且 PCR7 包含在验证配置文件 (或手动设置等效的注册表项) 。
-
系统信息 (msinfo32.exe) 将安全启动状态 PCR7 绑定报告为“不可能”。
-
设备的安全启动签名数据库 (DB) 中存在 Windows UEFI CA 2023 证书,使设备有资格将 2023 年签名的 Windows 启动管理器设置为默认启动管理器。
-
设备尚未运行 2023 年签名的 Windows 启动管理器。
在此方案中,BitLocker 恢复密钥只需输入一次 -- 只要组策略配置保持不变,后续重启将不会触发 BitLocker 恢复屏幕。 有关查找 BitLocker 恢复密钥的帮助,请参阅 查找 BitLocker 恢复密钥一文。
建议企业审核其 BitLocker 组策略以明确包含 PCR7,并在安装此更新之前检查 msinfo32.exe其 PCR7 绑定状态。 (请参阅下面的解决方法。)
解决方法
在安装更新之前删除组策略配置 (建议)
-
打开组策略编辑器 (gpedit.msc) 或 组策略 管理控制台。
-
导航到: 计算机配置 > 管理模板 > Windows 组件 > BitLocker 驱动器加密 > 操作系统驱动器。
-
将“为本机 UEFI 固件配置配置 TPM 平台验证配置文件”设置为“未配置”。
-
在受影响的设备上运行以下命令以传播策略更改: gpupdate /force
-
运行以下命令,暂停在 C: 驱动器上启用了 BitLocker 的 BitLocker () : manage-bde -protectors -disable C:
-
运行以下命令以恢复 BitLocker (,其中在 C: 驱动器上启用了 BitLocker) : manage-bde -protectors -enable C:
-
这会更新 BitLocker 绑定以使用 Windows 选择的默认 PCR 配置文件。
后续步骤
计划在将来的 Windows 更新中永久解决此问题。 更多信息将在可用时提供。
如何获取此更新
安装此更新之前
Microsoft将操作系统的最新服务堆栈更新 (SSU) 与最新的累积更新 (LCU) 相结合。 有关 SSU 的一般信息,请参阅 服务堆栈更新。
安装此更新
若要安装此更新,请使用以下 Windows 和 Microsoft 发布通道之一。
|
可用 |
下一步 |
|
|
|
此更新从 Windows 更新 和 Microsoft Update 自动下载并安装。 |
|
可用 |
下一步 |
|
|
此更新根据配置的策略从 Windows 更新 for Business 自动下载并安装。 |
|
可用 |
下一步 |
|
|
若要从 Microsoft更新目录安装此版本,请选择与设备体系结构 (arm64 或 x64) 匹配的选项,然后按照说明进行操作。 |
安装此更新之前,可从Microsoft更新目录网站获取此更新的独立包 () 。 此 KB 包含一个或多个需要按特定顺序安装的 MSU 文件。
可以使用方法 1 (将所有 MSU 文件一起安装) 或方法 2 (单独安装每个 MSU 文件,以便) 安装此更新。
方法 1:将所有 MSU 文件一起安装
从Microsoft更新目录下载KB5083769的所有 MSU 文件,并将其放置在同一文件夹中, (例如 C:/Packages) 。 使用 部署映像服务和管理 (DISM.exe) 安装目标更新。 DISM 将使用 PackagePath 中指定的文件夹根据需要发现和安装一个或多个必备 MSU 文件。
更新 Windows 电脑
若要将此更新应用于正在运行的 Windows 电脑,请从提升的命令提示符运行以下命令:
|
DISM /Online /Add-Package /PackagePath:c:\packages\Windows11.0-KB5083769-arm64.msu |
或者,从提升的Windows PowerShell提示符运行以下命令:
|
Add-WindowsPackage -Online -PackagePath "c:\packages\Windows11.0-KB5083769-arm64.msu" |
或使用Windows 更新独立安装程序安装目标更新。
更新 Windows 安装媒体
若要将此更新应用于 Windows 安装媒体,请参阅 使用动态更新更新 Windows 安装媒体。
注意: 下载其他动态更新包时,请确保它们与此 KB 的月份匹配。 如果 SafeOS 动态更新或安装程序动态更新在此 KB 的同一个月内不可用,请使用每个版本的最近发布的版本。
若要将此更新添加到已装载的映像,请从提升的命令提示符运行以下命令:
|
DISM /Image:mountdir /Add-Package /PackagePath:Windows11.0-KB5083769-arm64.msu |
或者,从提升的Windows PowerShell提示符运行以下命令:
|
Add-WindowsPackage -Path "c:\offline" -PackagePath "Windows11.0-KB5083769-arm64.msu" -PreventPending |
方法 2:按顺序单独安装每个 MSU 文件
使用 DISM 或 Windows 更新独立安装程序按以下顺序单独下载并安装每个 MSU 文件:
-
windows11.0-kb5043080-arm64_df540a05f9b118e339c5520f4090bb5d450f090b.msu
-
windows11.0-kb5083769-arm64_4dadf0627d879901a72a6d8184fa2bb5e518a8e7.msu
|
注意: 此最新累积更新包括 AI 组件的更新。 尽管更新中包含 AI 组件更新,但 AI 组件仅适用于 Windows Copilot+ 电脑,不会安装在 Windows 电脑或Windows Server。 |
安装此更新之前,可从Microsoft更新目录网站获取此更新的独立包 () 。 此 KB 包含一个或多个需要按特定顺序安装的 MSU 文件。
可以使用方法 1 (将所有 MSU 文件一起安装) 或方法 2 (单独安装每个 MSU 文件,以便) 安装此更新。
方法 1:将所有 MSU 文件一起安装
从Microsoft更新目录下载KB5083769的所有 MSU 文件,并将其放置在同一文件夹中, (例如 C:/Packages) 。 使用 部署映像服务和管理 (DISM.exe) 安装目标更新。 DISM 将使用 PackagePath 中指定的文件夹根据需要发现和安装一个或多个必备 MSU 文件。
更新 Windows 电脑
若要将此更新应用于正在运行的 Windows 电脑,请从提升的命令提示符运行以下命令:
|
DISM /Online /Add-Package /PackagePath:c:\packages\Windows11.0-KB5083769-x64.msu |
或者,从提升的Windows PowerShell提示符运行以下命令:
|
Add-WindowsPackage -Online -PackagePath "c:\packages\Windows11.0-KB5083769-x64.msu" |
或使用Windows 更新独立安装程序安装目标更新。
更新 Windows 安装媒体
若要将此更新应用于 Windows 安装媒体,请参阅 使用动态更新更新 Windows 安装媒体。
注意: 下载其他动态更新包时,请确保它们与此 KB 的月份匹配。 如果 SafeOS 动态更新或安装程序动态更新在此 KB 的同一个月内不可用,请使用每个版本的最近发布的版本。
若要将此更新添加到已装载的映像,请从提升的命令提示符运行以下命令:
|
DISM /Image:mountdir /Add-Package /PackagePath:Windows11.0-KB5083769-x64.msu |
或者,从提升的Windows PowerShell提示符运行以下命令:
|
Add-WindowsPackage -Path "c:\offline" -PackagePath "Windows11.0-KB5083769-x64.msu" -PreventPending |
方法 2:按顺序单独安装每个 MSU 文件
使用 DISM 或 Windows 更新独立安装程序按以下顺序单独下载并安装每个 MSU 文件:
-
windows11.0-kb5043080-x64_953449672073f8fb99badb4cc6d5d7849b9c83e8.msu
-
windows11.0-kb5083769-x64_57f4bd47d73842dd239f2c18b8ce48c8bf1c1d5d.msu
|
注意: 此最新累积更新包括 AI 组件的更新。 尽管更新中包含 AI 组件更新,但 AI 组件仅适用于 Windows Copilot+ 电脑,不会安装在 Windows 电脑或Windows Server。 |
|
可用 |
下一步 |
|
|
如果按如下所示配置产品和分类,此更新会自动与 Windows Server Update Services (WSUS) 同步: 产品:Windows 11 分类:安全更新 |
如果要删除此更新
警告: 在决定删除此更新之前,请参阅 了解风险:为何不应卸载安全更新。
若要在安装组合的 SSU 和 LCU 包后删除 LCU,请使用 DISM/Remove-Package 命令行选项,并将 LCU 包名称用作参数。 可以使用以下命令查找包名称:DISM /online /get-packages。
在组合包上使用 /uninstall 开关运行 Windows 更新 独立安装程序 (wusa.exe) 将不起作用,因为组合包包含 SSU。 安装后,无法从系统中删除 SSU。
文件信息
有关此更新中提供的文件列表, 请下载累积更新5083769的文件信息。
有关服务堆栈更新中提供的文件列表, 请下载 SSU (KB5088467) - 版本 26100.8247 的文件信息。
相关主题
需要更多帮助?
需要更多选项?
了解订阅权益、浏览培训课程、了解如何保护设备等。
社区可帮助你提出和回答问题、提供反馈,并听取经验丰富专家的意见。
