2026 年 4 月 14 日 - KB5082200(OS 内部版本 19045.7184 和 19044.7184)
应用对象
发布日期:
2026/4/14
版本:
OS 内部版本 19045.7184 和 19044.7184
Windows 安全启动证书过期
重要提示: 大多数 Windows 设备使用的安全启动证书从 2026 年 6 月开始过期。 若未能及时更新,这可能会影响某些个人和企业设备安全启动的能力。 为避免中断,建议查看指南并提前采取措施更新证书。
有关 Windows 设备的详细信息和准备步骤,请参阅Windows 安全启动证书过期和 CA 更新。
有关 Windows 服务器的详细信息和准备步骤,请参阅以下资源:
摘要
本文列出了此安全更新中包含的安全问题和质量改进。
适用于: Windows 10 ESU
重要: 使用 EKB KB5015684 更新到 Windows 10 版本 22H2。
此安全更新包括以下更新的修补程序和质量改进:
下面是此更新在安装此更新时所解决的问题的摘要。 如果有新功能,也会列出这些功能。 括号中的粗体文本表示我们记录的更改的项目或区域。
-
[登录] 已修复:安装 2026 年 3 月 10 日或之后发布的 Windows 更新后,某些用户使用 Microsoft 帐户登录应用时可能会遇到问题。 即使设备具有正常工作的 Internet 连接,登录期间也会出现“无 Internet”错误,并阻止访问Microsoft服务和应用(如 Microsoft Teams)。
-
[远程桌面] 此更新改进了对使用远程桌面 (.rdp) 文件的钓鱼攻击的防护。 打开 .rdp 文件时,远程桌面在连接前会显示所有请求的连接设置,每个设置默认处于关闭状态。 首次在设备上打开 .rdp 文件时,也会显示一次性安全警告。 有关详细信息,请参阅 了解在打开远程桌面 (RDP) 文件时的安全警告。
-
[安全启动]
-
此更新启用安全启动状态的动态状态报告Windows 安全中心应用 (设置 > 更新 & 安全 > Windows 安全中心) 。 通过锁屏提醒和通知详细了解状态警报。 请注意,这些增强功能在商业设备和服务器上默认处于禁用状态。
-
此更新修复了可能导致设备在安全启动更新后进入 BitLocker 恢复的问题。
-
通过此更新,Windows 质量更新包括面向数据的其他高置信度设备,从而扩大有资格自动接收新安全启动证书的设备覆盖范围。 设备只有在演示了足够成功的更新信号、保持受控的分阶段推出后,才会收到新证书。
-
-
[易受攻击的驱动程序阻止列表] 此更新引入了安全强化更改,可将已知的易受攻击的内核驱动程序添加到Microsoft易受攻击的驱动程序阻止列表。 依赖于被阻止驱动程序的备份应用程序在尝试装载或管理磁盘映像时可能会遇到故障。
这些依赖于被阻止驱动程序的应用可能会显示错误消息,包括“备份失败,因为Microsoft VSS 在创建快照期间超时”或VSS_E_BAD_STATE。 受影响的用户应更新到其应用程序的较新版本,该版本使用包含所需保护的较新驱动程序。 有关详细信息,请参阅 2026 年 4 月 Windows 安全更新引入了对已知易受攻击内核驱动程序的保护。
如果已安装较早的更新,那么此程序包中只有新的更新程序会下载并安装到设备上。
有关安全漏洞的详细信息,请参阅新的安全更新指南网站和 2026 年 4 月安全汇报。
有关 Windows 更新术语的信息,请参阅有关 Windows 更新类型和每月质量更新类型的文章。 有关Windows 10版本 22H2 的概述,请参阅其更新历史记录页。
备注 请关注 @WindowsUpdate 以查看新内容将何时发布到 Windows 发布运行状况仪表板。
此更新中的已知问题
-
可能需要配置未经推荐的 BitLocker 组策略的设备才能输入其 BitLocker 恢复密钥
症状
安装此更新后,某些配置了不推荐的 BitLocker 组策略的设备可能需要在首次重启时输入其 BitLocker 恢复密钥。
此问题仅影响满足以下所有条件的有限数量的系统。 在不受 IT 部门管理的个人设备上,这些条件几乎不会满足。
-
BitLocker 在 OS 驱动器上启用。
-
组策略“为本机 UEFI 固件配置 TPM 平台验证配置文件”已配置,且验证配置文件中包含 PCR7 (或手动设置了等效的注册表项)。
-
系统信息(msinfo32.exe)将安全启动状态 PCR7 绑定报告为“不可能”。
-
Windows UEFI CA 2023 证书存在于设备的安全启动签名数据库(DB)中,使设备有资格将 2023 签名的 Windows 引导管理器设为默认。
-
设备尚未运行 2023 签名的 Windows 引导管理器。
在此方案中,只需输入一次 BitLocker 恢复密钥 - 只要组策略配置保持不变,后续重启就不会触发 BitLocker 恢复界面。 有关查找 BitLocker 恢复密钥的帮助,请参阅该文章: 查找 BitLocker 恢复密钥。
在安装此更新前,建议企业审核其 BitLocker 组策略,确认是否明确包含 PCR7,并检查 msinfo32.exe 的 PCR7 绑定状态。
解决方法
我们正在研究解决方案,并将在其可用后提供详细信息。
若要暂时解决此问题,请在安装更新之前移除组策略配置(推荐)
-
打开组策略编辑器(gpedit.msc)或你的组策略管理控制台。
-
导航到: 计算机配置 > 管理模板 > Windows 组件 > BitLocker 驱动器加密 > 操作系统驱动器。
-
将“为本机 UEFI 固件配置 TPM 平台验证配置文件”设置为“未配置”。
-
在受影响的设备上运行以下命令以传播策略更改: gpupdate /force
-
运行以下命令以暂停 BitLocker (C: 驱动器上启用 BitLocker 的位置): manage-bde -protectors -disable C:
-
运行以下命令以恢复 BitLocker (C: 驱动器上启用 BitLocker 的位置): manage-bde -protectors -enable C:
-
这会更新 BitLocker 绑定以使用 Windows 选择的默认 PCR 配置文件。
-
-
远程桌面安全警告可能无法正确 显示症状
安装此更新后,在某些情况下,打开远程桌面 (RDP) 文件时显示的安全警告可能不会正确显示。
如果使用具有不同显示缩放设置的多个监视器, (例如,一台显示器设置为 100%,另一台显示器设置为 125%) ,则可能会出现此问题。 发生这种情况时,警告窗口可能会显示重叠的文本或部分隐藏的按钮,这可能会使消息难以阅读或与之交互。
解决方法
我们正在研究解决方案,并将在其可用后提供详细信息。若要暂时解决此问题并帮助警告窗口正确显示,请在所有监视器上设置相同的显示比例。
-
转到“开始 >设置 ”> “系统 > 显示”。
-
对于每个显示器,在“比例 & 布局”下,为所有显示器设置相同的“缩放”值。
键盘辅助功能选项
如果按钮或文本难以使用鼠标选择,可以使用键盘与警告消息交互:
-
按 Tab 键可在选项之间移动键盘焦点。
-
突出显示某个选项时,按空格键将其选中。
-
适用于: Windows 10 企业版 LTSC 2021 和 Windows 10 IoT 企业版 LTSC 2021
重要: 使用 EKB KB5003791在受支持的版本上更新到Windows 10版本 21H2。
此安全更新包括以下更新的修补程序和质量改进:
下面是此更新在安装此更新时所解决的问题的摘要。 如果有新功能,也会列出这些功能。 括号中的粗体文本表示我们记录的更改的项目或区域。
-
[登录] 已修复:安装 2026 年 3 月 10 日或之后发布的 Windows 更新后,某些用户使用 Microsoft 帐户登录应用时可能会遇到问题。 即使设备具有正常工作的 Internet 连接,登录期间也会出现“无 Internet”错误,并阻止访问Microsoft服务和应用(如 Microsoft Teams)。
-
[许可] 改进:此更新解决了使用部署映像服务和管理 (DISM) Long-Term 服务通道 (LTSC) 映像创建的问题。 由于实施许可方面的限制,以下版本的 DISM 脱机操作无法应用安全更新。 现在,可以使用 DISM 在为 LTSC 创建脱机映像期间添加安全包。
-
Windows 10 IoT 企业版 LTSC 2021
-
Windows 10 企业版 G SKU
-
Windows 10 企业版 N LTSC
-
-
[远程桌面] 此更新改进了对使用远程桌面 (.rdp) 文件的钓鱼攻击的防护。 打开 .rdp 文件时,远程桌面在连接前会显示所有请求的连接设置,每个设置默认处于关闭状态。 首次在设备上打开 .rdp 文件时,也会显示一次性安全警告。 有关详细信息,请参阅 了解在打开远程桌面 (RDP) 文件时的安全警告。
-
[安全启动]
-
此更新启用安全启动状态的动态状态报告Windows 安全中心应用 (设置 > 更新 & 安全 > Windows 安全中心) 。 通过锁屏提醒和通知详细了解状态警报。 请注意,这些增强功能在商业设备和服务器上默认处于禁用状态。
-
此更新修复了可能导致设备在安全启动更新后进入 BitLocker 恢复的问题。
-
通过此更新,Windows 质量更新包括面向数据的其他高置信度设备,从而扩大有资格自动接收新安全启动证书的设备覆盖范围。 设备只有在演示了足够成功的更新信号、保持受控的分阶段推出后,才会收到新证书。
-
-
[易受攻击的驱动程序阻止列表] 此更新引入了安全强化更改,可将已知的易受攻击的内核驱动程序添加到Microsoft易受攻击的驱动程序阻止列表。 依赖于被阻止驱动程序的备份应用程序在尝试装载或管理磁盘映像时可能会遇到故障。
这些依赖于被阻止驱动程序的应用可能会显示错误消息,包括“备份失败,因为Microsoft VSS 在创建快照期间超时”或VSS_E_BAD_STATE。 受影响的用户应更新到其应用程序的较新版本,该版本使用包含所需保护的较新驱动程序。 有关详细信息,请参阅 2026 年 4 月 Windows 安全更新引入了对已知易受攻击内核驱动程序的保护。
如果已安装较早的更新,那么此程序包中只有新的更新程序会下载并安装到设备上。
有关安全漏洞的详细信息,请参阅新的安全更新指南网站和 2026 年 4 月安全汇报。
有关 Windows 更新术语的信息,请参阅有关 Windows 更新类型和每月质量更新类型的文章。 有关Windows 10版本 22H2 的概述,请参阅其更新历史记录页。
备注 请关注 @WindowsUpdate 以查看新内容将何时发布到 Windows 发布运行状况仪表板。
此更新中的已知问题
-
可能需要配置未经推荐的 BitLocker 组策略的设备才能输入其 BitLocker 恢复密钥
症状
安装此更新后,某些配置了不推荐的 BitLocker 组策略的设备可能需要在首次重启时输入其 BitLocker 恢复密钥。
此问题仅影响满足以下所有条件的有限数量的系统。 在不受 IT 部门管理的个人设备上,这些条件几乎不会满足。
-
BitLocker 在 OS 驱动器上启用。
-
组策略“为本机 UEFI 固件配置 TPM 平台验证配置文件”已配置,且验证配置文件中包含 PCR7 (或手动设置了等效的注册表项)。
-
系统信息(msinfo32.exe)将安全启动状态 PCR7 绑定报告为“不可能”。
-
Windows UEFI CA 2023 证书存在于设备的安全启动签名数据库(DB)中,使设备有资格将 2023 签名的 Windows 引导管理器设为默认。
-
设备尚未运行 2023 签名的 Windows 引导管理器。
在此方案中,只需输入一次 BitLocker 恢复密钥 - 只要组策略配置保持不变,后续重启就不会触发 BitLocker 恢复界面。 有关查找 BitLocker 恢复密钥的帮助,请参阅该文章: 查找 BitLocker 恢复密钥。
在安装此更新前,建议企业审核其 BitLocker 组策略,确认是否明确包含 PCR7,并检查 msinfo32.exe 的 PCR7 绑定状态。
解决方法
我们正在研究解决方案,并将在其可用后提供详细信息。
若要暂时解决此问题,请在安装更新之前移除组策略配置(推荐)
-
打开组策略编辑器(gpedit.msc)或你的组策略管理控制台。
-
导航到: 计算机配置 > 管理模板 > Windows 组件 > BitLocker 驱动器加密 > 操作系统驱动器。
-
将“为本机 UEFI 固件配置 TPM 平台验证配置文件”设置为“未配置”。
-
在受影响的设备上运行以下命令以传播策略更改: gpupdate /force
-
运行以下命令以暂停 BitLocker (C: 驱动器上启用 BitLocker 的位置): manage-bde -protectors -disable C:
-
运行以下命令以恢复 BitLocker (C: 驱动器上启用 BitLocker 的位置): manage-bde -protectors -enable C:
-
这会更新 BitLocker 绑定以使用 Windows 选择的默认 PCR 配置文件。
-
-
远程桌面安全警告可能无法正确 显示症状
安装此更新后,在某些情况下,打开远程桌面 (RDP) 文件时显示的安全警告可能不会正确显示。
如果使用具有不同显示缩放设置的多个监视器, (例如,一台显示器设置为 100%,另一台显示器设置为 125%) ,则可能会出现此问题。 发生这种情况时,警告窗口可能会显示重叠的文本或部分隐藏的按钮,这可能会使消息难以阅读或与之交互。
解决方法
我们正在研究解决方案,并将在其可用后提供详细信息。若要暂时解决此问题并帮助警告窗口正确显示,请在所有监视器上设置相同的显示比例。
-
转到“开始 >设置 ”> “系统 > 显示”。
-
对于每个显示器,在“比例 & 布局”下,为所有显示器设置相同的“缩放”值。
键盘辅助功能选项
如果按钮或文本难以使用鼠标选择,可以使用键盘与警告消息交互:
-
按 Tab 键可在选项之间移动键盘焦点。
-
突出显示某个选项时,按空格键将其选中。
-
Windows 10服务堆栈更新 (KB5084130) - 版本 19041.7183
Microsoft 现在将操作系统的最新服务堆栈更新 (SSU) 与最新的累积更新 (LCU) 组合在一起。 SU 提高了更新过程的可靠性,并包括对服务堆栈(安装 Windows 更新的组件)的修复。
注意: 此服务堆栈更新 (SSU) 包含增强的逻辑,用于验证设备是否托管在Azure,并利用更新的证书链进行验证。 若要确保设备可以访问所需的证书更新域以成功下载和安装证书更新,请参阅证书下载和吊销列表和Azure证书颁发机构详细信息。 若要了解有关 SU 的详细信息,请参阅 服务堆栈更新。
如何获取此更新
安装此更新之前
重要提示 必须安装最新的Windows 10服务堆栈更新 (SSU) 。 在应用 Windows 更新之前不安装最新的 SSU 可能会导致在安装最新的 SSU 之前不提供 Windows 更新。
根据安装方案,选择以下选项之一:
安装此更新
若要安装此更新,请使用以下 Windows 和 Microsoft 发布通道之一。
|
可用 |
下一步 |
|
|
此更新会通过 Windows 更新自动下载并安装。 |
|
可用 |
下一步 |
|
|
将根据配置的策略,从 Windows 更新 for Business 自动下载并安装此更新。 |
|
可用 |
下一步 |
|
|
若要获取此更新的独立包,请转到 Microsoft更新目录 网站。 有关如何从更新目录下载和安装更新的信息,请参阅如何从Windows 更新目录中下载包含驱动程序和修补程序的更新。 |
|
可用 |
下一步 |
|
|
如果按如下所示配置产品和分类,此更新将自动与 Windows Server Update Services (WSUS) 同步:
若要将 WSUS 服务器设置为基于产品和分类进行同步,请参阅 按产品和分类同步更新。 若要手动将更新导入 WSUS,请参阅 使用 PowerShell 将更新导入 WSUS。 |
文件信息
在 CSV (逗号分隔) (*.csv) 文件中提供了此更新中包含的文件列表。 文件可以在文本编辑器(如记事本)或 Microsoft Excel 中打开。
注意: 此软件更新的英语 (美国) 版本可能包含其他语言的文件。
相关信息
如果要删除此更新
警告 在决定删除此更新之前,请参阅 了解风险:为何不应卸载安全更新。
若要在安装组合的 SSU 和 LCU 包后删除 LCU,请使用 DISM/Remove-Package 命令行选项,并将 LCU 包名称用作参数。 可以使用以下命令查找包名称:DISM /online /get-packages。
在组合包上使用 /uninstall 开关运行 Windows 更新 独立安装程序 (wusa.exe) 将不起作用,因为组合包包含 SSU。 安装后,无法从系统中删除 SSU。
有关Microsoft应用商店应用程序更新的通知
Windows 更新不会安装Microsoft应用商店应用程序更新。 如果你是企业用户,请参阅 Microsoft 应用商店应用 - Configuration Manager。 如果你是使用者用户,请参阅 在 Microsoft Store 中获取应用和游戏的更新。
终止支持信息
Windows 10 版本 21H2/22H2 和 Windows 10 企业版 LTSC 2021 终止支持
在以下结束日期,Microsoft 将不再提供来自 Windows 更新的软件更新、技术协助或安全修补程序:
♦ Windows 10 版本 21H2:支持已于 2023 年 6 月 13 日结束
♦ Windows 10版本 22H2:支持已于 2025 年 10 月 14 日结束
♦ Windows 10 企业版 LTSC 2021:2027 年 1 月 12 日
♦ Windows 10 IoT 企业版 LTSC 2021:2032 年 1 月 13 日
注意: 要继续接收 Windows 10 的关键和重要安全更新,请参阅 Windows 10 扩展安全更新 (ESU)。 否则,建议升级到更高版本的 Windows。
更改日志
|
更改日期 |
更改说明 |
|
2026 年 5 月 1 日 |
|
|
2026 年 4 月 23 日 |
|
|
2026 年 4 月 21 日 |
|
|
2026 年 4 月 14 日 |
|
需要更多帮助?
需要更多选项?
了解订阅权益、浏览培训课程、了解如何保护设备等。
社区可帮助你提出和回答问题、提供反馈,并听取经验丰富专家的意见。
