此适用于 Windows Server 2025 (KB5091157) 的带外 (OOB) 更新是非安全的累积更新。
改进
此带外更新包含 2026 年 4 月 14 日发布的 KB5082063 () 的质量改进。 以下摘要概述了此带外更新解决的关键问题。 括号中的粗体文本指示更改的项目或区域。
-
[域控制器 (已知问题) ] 已修复:在安装 2026 年 4 月 14 日之后,Windows 安全更新 (KB5082063) 并重启,使用 Privileged Access Management (PAM)的多域林的域控制器可能会遇到启动问题。 在某些情况下,本地安全机构子系统服务 (LSASS) 可能会停止响应,导致重复重启,并阻止身份验证和目录服务,这可能会使域不可用。
-
[Windows 更新安装] 已修复:少量Windows Server 2025 设备可能无法安装 2026 年 4 月 14 日 Windows 安全更新 (KB5082063)。 发生此问题时,受影响的设备可能会显示以下错误消息之一:“安装错误:0x800F0983”或“某些更新文件丢失或出现问题。 稍后我们将尝试再次下载更新。 错误代码:0x80073712。”
如果安装了早期更新,则设备仅下载并安装此包中包含的新更新。
注意 受KB5082063安装问题影响的热补丁更新注册Windows Server 2025 设备可以安装此 OOB 更新,实现相同的保护。 但是,这样做需要重启,热补丁更新在 2026 年 7 月基线更新之前不会恢复。
Windows Sever 2025 服务堆栈更新 (KB5082062) -26100.32692
此更新对服务堆栈进行了质量改进,服务堆栈是安装 Windows 更新的组件。 服务堆栈更新 (SSU) 可确保你拥有强大且可靠的服务堆栈,让你的设备可以接收和安装 Microsoft 更新。 若要详细了解 SU,请参阅 简化服务堆栈更新的本地部署。
此更新中的已知问题
症状
安装此更新后,某些配置了未推荐的 BitLocker 组策略 的设备可能需要在首次重启时输入其 BitLocker 恢复密钥。
此问题仅影响有限数量的系统,其中所有以下条件都为 true。 在不受 IT 部门管理的个人设备上不太可能发现这些情况。
-
在 OS 驱动器上启用了 BitLocker。
-
配置组策略“为本机 UEFI 固件配置配置 TPM 平台验证配置文件”,并且 PCR7 包含在验证配置文件 (或手动设置等效的注册表项) 。
-
系统信息 (msinfo32.exe) 将安全启动状态 PCR7 绑定报告为“不可能”。
-
设备的安全启动签名数据库 (DB) 中存在 Windows UEFI CA 2023 证书,使设备有资格将 2023 年签名的 Windows 启动管理器设置为默认启动管理器。
-
设备尚未运行 2023 年签名的 Windows 启动管理器。
在此方案中,BitLocker 恢复密钥只需输入一次 -- 只要组策略配置保持不变,后续重启将不会触发 BitLocker 恢复屏幕。 有关查找 BitLocker 恢复密钥的帮助,请参阅 查找 BitLocker 恢复密钥一文。
建议企业审核其 BitLocker 组策略以明确包含 PCR7,并在安装此更新之前检查 msinfo32.exe其 PCR7 绑定状态。 (请参阅下面的选项 1。)
解决方法
选项 1:在安装更新之前删除组策略配置 (推荐)
-
打开组策略编辑器 (gpedit.msc) 或 组策略 管理控制台。
-
导航到: 计算机配置 > 管理模板 > Windows 组件 > BitLocker 驱动器加密 > 操作系统驱动器。
-
将“为本机 UEFI 固件配置配置 TPM 平台验证配置文件”设置为“未配置”。
-
在受影响的设备上运行以下命令以传播策略更改: gpupdate /force
-
运行以下命令,暂停在 C: 驱动器上启用了 BitLocker 的 BitLocker () : manage-bde -protectors -disable C:
-
运行以下命令以恢复 BitLocker (,其中在 C: 驱动器上启用了 BitLocker) : manage-bde -protectors -enable C:
-
这会更新 BitLocker 绑定以使用 Windows 选择的默认 PCR 配置文件。
选项 2:在安装更新之前应用已知问题回滚 (KIR)
已知问题回滚 (KIR) 适用于在部署此更新之前无法删除 PCR7 组策略的客户。 KIR 会阻止自动切换到 2023 启动管理器,从而避免 BitLocker 恢复触发器。 在受影响的设备上安装更新之前,应部署 KIR。 请联系Microsoft的业务支持 部门获取此 KIR。
计划在将来的 Windows 更新中永久解决此问题。 更多信息将在可用时提供。
安装 KB5070881 或更高版本更新后,Windows Server Update Services (WSUS) 不会在其错误报告中显示同步错误详细信息。 此功能已暂时移除,以解决远程执行代码漏洞 CVE-2025-59287。
如何获取此更新
安装此更新之前
Microsoft现在将操作系统的最新服务堆栈更新 (SSU) 与最新的累积更新 (LCU) 相结合。 有关 SSU 的一般信息,请参阅 服务堆栈更新。
安装此更新
若要安装此更新,请使用以下 Windows 和 Microsoft 发布通道之一。
|
可用 |
下一步 |
|
|
参阅其他选项。 |
|
可用 |
下一步 |
|
|
参阅其他选项。 |
|
可用 |
下一步 |
|||||
|
|
若要从 Microsoft 更新目录安装此版本,请按照以下说明操作: 在安装此更新之前,独立包 (此更新) ,请转到Microsoft更新目录网站。 此 KB 包含一个或多个需要按特定顺序安装的 MSU 文件。 可以使用方法 1 (将所有 MSU 文件一起安装) 或方法 2 (单独安装每个 MSU 文件,以便) 安装此更新。 方法 1:将所有 MSU 文件一起安装 从 Microsoft 更新目录中下载所有用于KB5091157的 MSU 文件,并将其放置在同一文件夹中, (例如 C:/Packages) 。 使用 部署映像服务和管理 (DISM.exe) 安装目标更新。 DISM 将使用 PackagePath 中指定的文件夹根据需要发现和安装一个或多个必备 MSU 文件。 更新 Windows 电脑 若要将此更新应用于正在运行的 Windows 电脑,请从提升的命令提示符运行以下命令:
或者,从提升的Windows PowerShell提示符运行以下命令:
或使用Windows 更新独立安装程序安装目标更新。 更新 Windows 安装媒体 若要将此更新应用于 Windows 安装媒体,请参阅使用动态更新更新 Windows 安装媒体。 注意: 下载其他动态更新包时,请确保它们与此 KB 的月份匹配。 如果 SafeOS 动态更新或安装程序动态更新在此 KB 的同一个月内不可用,请使用每个版本的最近发布的版本。 若要将此更新添加到已装载的映像,请从提升的命令提示符运行以下命令:
或者,从提升的Windows PowerShell提示符运行以下命令:
方法 2:按顺序单独安装每个 MSU 文件 使用 DISM 或 Windows 更新独立安装程序按以下顺序单独下载并安装每个 MSU 文件:
|
|
可用 |
下一步 |
|
|
参阅其他选项。 |
如果要删除此更新
警告:在决定删除此更新之前,请参阅 了解风险:为何不应卸载安全更新。
若要在安装组合的 SSU 和 LCU 包后删除此更新,请使用 DISM/Remove-Package 命令行选项以及 LCU 包名称作为参数。 可以使用以下命令查找包名称:DISM /online /get-packages。
在组合包上使用 /uninstall 开关运行 Windows 更新 独立安装程序 (wusa.exe) 将不起作用,因为组合包包含 SSU。 安装后,无法从系统中删除 SSU。
文件信息
有关此更新中提供的文件列表,请下载 带外更新5091157的文件信息。
有关服务堆栈更新中提供的文件列表,请下载 SSU (KB5082062) - 版本 26100.32692 的文件信息。
