此累积更新适用于 Windows 11 版本 23H2 (KB5087420) ,包括最新的安全修补程序和改进,以及上个月可选预览版的非安全更新。 若要详细了解安全更新、可选非安全预览更新、带外 (OOB) 更新和持续创新之间的差异,请参阅 Windows 月度更新说明。 有关 Windows 更新术语的信息,请参阅不同类型的 Windows 软件更新。
若要查看有关此版本的最新更新,请访问 Windows 版本运行状况仪表板或 Windows 11 版本 23H2 的更新历史记录页。
|
提示:本月的视频位于 Windows 11 版本 25H2 和 24H2 一文中。 |
公告和消息
本部分提供与此版本相关的重要通知,包括公告、更改日志和支持终止通知。
Windows 安全启动证书过期
重要提示: 大多数 Windows 设备使用的安全启动证书从 2026 年 6 月开始过期。 若未能及时更新,这可能会影响某些个人和企业设备安全启动的能力。 为避免中断,建议查看指南并提前采取措施更新证书。 有关详细信息和准备步骤,请参阅 Windows 安全启动证书过期和 CA 更新。
改进
此更新解决了 Windows 操作系统的安全问题。
重要: 使用 EKB KB5027397 更新到 Windows 11 版本 23H2。
此安全更新包含 2026 年 4 月 14 日发布的 KB5082052 () 的修补程序和质量改进。 以下摘要概述了此更新解决的关键问题。 此外,还包括可用的新功能。 括号中的粗体文本指示更改的项目或区域。
-
[安全启动] 通过此更新,Windows 质量更新包括面向数据的其他高置信度设备,从而扩大有资格自动接收新安全启动证书的设备覆盖范围。 设备只有在演示了足够成功的更新信号、保持受控的分阶段推出后,才会收到新证书。
-
[国家/地区和操作员设置资产 (COSA) ]此更新为某些移动运营商提供最新的配置文件。
-
[夏令时 (DST) ] 此更新支持埃及阿拉伯共和国的 2023 DST 更改。
-
[企业状态漫游 (ESR) ] 现在可以通过组织策略Windows 备份管理 ESR。 这使 IT 管理员的设置更加容易。 若要了解详细信息,请参阅企业状态漫游。
-
[Microsoft Defender SmartScreen] 此更新使 Windows shell 中的 Microsoft Defender SmartScreen 能够发送未签名文件的文件哈希。 此支持允许 SmartScreen 使用更新的信誉模型并提高应用程序信誉检查的质量。
-
远程桌面 (已知问题) ] 已修复:此更新解决了影响远程桌面连接安全警告对话框的问题。 当监视器具有不同的缩放集时,在多监视器方案中,对话框可能无法正确呈现。 安装 2026 年 4 月 (KB5082052) 安全更新后,可能会出现这种情况。 有关详细信息,请参阅了解在打开远程桌面 (RDP) 文件时的安全警告。
如果已安装以前的更新,则设备将仅下载并安装此包中包含的新更新。
有关安全漏洞的详细信息,请参阅安全更新指南和 2026 年 5 月安全更新。
Windows 11服务堆栈更新 (KB5086307) - 22621.6937
此更新对服务堆栈进行了质量改进,服务堆栈是安装 Windows 更新的组件。 服务堆栈更新 (SSU) 可确保你拥有强大且可靠的服务堆栈,让你的设备可以接收和安装 Microsoft 更新。 若要详细了解 SU,请参阅 简化服务堆栈更新的本地部署。
此更新中的已知问题
症状
安装此更新后,某些配置了不推荐的 BitLocker 组策略的设备可能需要在首次重启时输入其 BitLocker 恢复密钥。
此问题仅影响有限数量的系统,其中所有以下条件都为 true。 在不受 IT 部门管理的个人设备上,这些条件几乎不会满足。
-
BitLocker 在 OS 驱动器上启用。
-
组策略“为本机 UEFI 固件配置 TPM 平台验证配置文件”已配置,且验证配置文件中包含 PCR7 (或手动设置了等效的注册表项)。
-
系统信息(msinfo32.exe)将安全启动状态 PCR7 绑定报告为“不可能”。
-
Windows UEFI CA 2023 证书存在于设备的安全启动签名数据库(DB)中,使设备有资格将 2023 签名的 Windows 引导管理器设为默认。
-
设备尚未运行 2023 签名的 Windows 引导管理器。
在此方案中,只需输入一次 BitLocker 恢复密钥 - 只要组策略配置保持不变,后续重启就不会触发 BitLocker 恢复界面。 有关查找 BitLocker 恢复密钥的帮助,请参阅 查找 BitLocker 恢复密钥一文。
在安装此更新前,建议企业审核其 BitLocker 组策略,确认是否明确包含 PCR7,并检查 msinfo32.exe 的 PCR7 绑定状态。 (请参阅下面的解决方法。)
解决方法
在安装更新之前删除组策略配置 (建议)
-
打开组策略编辑器(gpedit.msc)或你的组策略管理控制台。
-
导航到: 计算机配置 > 管理模板 > Windows 组件 > BitLocker 驱动器加密 > 操作系统驱动器。
-
将“为本机 UEFI 固件配置 TPM 平台验证配置文件”设置为“未配置”。
-
在受影响的设备上运行以下命令以传播策略更改: gpupdate /force
-
运行以下命令以暂停 BitLocker (C: 驱动器上启用 BitLocker 的位置): manage-bde -protectors -disable C:
-
运行以下命令以恢复 BitLocker (C: 驱动器上启用 BitLocker 的位置): manage-bde -protectors -enable C:
-
这会更新 BitLocker 绑定以使用 Windows 选择的默认 PCR 配置文件。
计划在将来的 Windows 更新中永久解决此问题。 更多信息将在可用时提供。
如何获取此更新
安装此更新之前
Microsoft将操作系统的最新服务堆栈更新 (SSU) 与最新的累积更新 (LCU) 相结合。 有关 SSU 的一般信息,请参阅 服务堆栈更新。
安装此更新
若要安装此更新,请使用以下 Windows 和 Microsoft 发布通道之一。
|
可用 |
下一步 |
|
|
此更新从 Windows 更新 和 Microsoft Update 自动下载并安装。 |
|
可用 |
下一步 |
|
|
此更新根据配置的策略从 Windows 更新 for Business 自动下载并安装。 |
|
可用 |
下一步 |
|
|
若要获取此更新的独立包,请转到Microsoft更新目录。 |
|
可用 |
下一步 |
|
|
如果按如下所示配置产品和分类,此更新会自动与 Windows Server Update Services (WSUS) 同步: 产品:Windows 11 分类:安全更新 |
如果要删除此更新
在决定删除此更新之前,请参阅 了解风险:为何不应卸载安全更新。
若要在安装组合的 SSU 和 LCU 包后删除 LCU,请使用 DISM/Remove-Package 命令行选项,并将 LCU 包名称用作参数。 可以使用以下命令查找包名称:DISM /online /get-packages。
在组合包上使用 /uninstall 开关运行 Windows 更新 独立安装程序 (wusa.exe) 将不起作用,因为组合包包含 SSU。 安装后,无法从系统中删除 SSU。
文件信息
有关此更新中提供的文件列表, 请下载累积更新5087420的文件信息。
有关服务堆栈更新中提供的文件列表, 请下载 SSU (KB5086307) 的文件信息 - 版本 22621.6937。
