此累积更新适用于 Windows 11 版本 25H2 和 24H2 (KB5083769) ,包括最新的安全修补程序和改进,以及上个月可选预览版的非安全更新。 若要详细了解安全更新、可选非安全预览更新、带外 (OOB) 更新和持续创新之间的差异,请参阅 Windows 月度更新说明。 有关 Windows 更新术语的信息,请参阅不同类型的 Windows 软件更新。
若要查看有关此版本的最新更新,请访问 Windows 版本运行状况仪表板或Windows 11版本 25H2 和 24H2 的更新历史记录页。
公告和消息
本部分提供与此版本相关的重要通知,包括公告、更改日志和支持终止通知。
Windows 安全启动证书过期
重要提示: 大多数 Windows 设备使用的安全启动证书从 2026 年 6 月开始过期。 若未能及时更新,这可能会影响某些个人和企业设备安全启动的能力。 为避免中断,建议查看指南并提前采取措施更新证书。 有关详细信息和准备步骤,请参阅 Windows 安全启动证书过期和 CA 更新。
|
更改日期 |
更改说明 |
|
2026 年 4 月 14 日 |
已知问题已添加:“可能需要配置未经推荐的 BitLocker 组策略设备才能输入其 BitLocker 恢复密钥” |
改进
此安全更新包含 3 月 10 日发布的 KB5079473 (的修补程序和质量改进。 2026) 、 KB5085516 (2026 年 3 月 21 日发布) 、 KB5079391 2026 年 3 月 26 日发布的 (- 不再提供 ) ,KB5086672 (2026 年 3 月 31 日发布) 。 以下摘要概述了此更新解决的关键问题。 此外,还包括可用的新功能。 括号中的粗体文本指示更改的项目或区域。
-
[安全启动]
-
新功能! 设备上安全启动证书更新的状态可能会显示在Windows 安全中心应用中, (设置 > 隐私 & 安全 > Windows 安全中心) 。 通过锁屏提醒和通知详细了解状态警报。 商业设备上默认禁用这些增强功能。
-
通过此更新,Windows 质量更新包括面向数据的其他高置信度设备,从而扩大有资格自动接收新安全启动证书的设备覆盖范围。 设备只有在演示了足够成功的更新信号、保持受控的分阶段推出后,才会收到新证书。
-
此更新解决了在安全启动更新后设备可能进入 BitLocker 恢复的问题。
-
-
[网络] 当 Windows 通过 QUIC 使用 SMB 压缩时,此更新提高了可靠性。 安装此更新后,通过 QUIC 的 SMB 压缩请求会更加一致地完成,从而降低超时的可能性,并支持更流畅、更可靠的性能。
-
[远程桌面] 此更新改进了对使用远程桌面 (.rdp) 文件的钓鱼攻击的防护。 打开 .rdp 文件时,远程桌面在连接前会显示所有请求的连接设置,每个设置默认处于关闭状态。 首次在设备上打开 .rdp 文件时,也会显示一次性安全警告。 有关详细信息,请参阅 了解在打开远程桌面 (RDP) 文件时的安全警告。
-
[ (已知问题) 重置此电脑] 已修复:此更新解决了在使用“保留我的文件”或“删除所有内容”选项时可能导致设备重置失败的问题。 安装 2026 年 3 月 (KB5079420) Hotpatch 安全更新后,可能会出现这种情况。
如果已安装以前的更新,则设备将仅下载并安装此包中包含的新更新。
有关安全漏洞的详细信息,请参阅安全更新指南和 2026 年 4 月安全汇报。
AI 组件
此版本更新以下 AI 组件:
|
AI 组件 |
版本 |
|
图像搜索 |
1.2603.377.0 |
|
内容提取 |
1.2603.377.0 |
|
语义分析 |
1.2603.377.0 |
|
设置模型 |
1.2603.377.0 |
Windows 11服务堆栈更新 (KB5088467) - 26100.8247
此更新对服务堆栈进行了质量改进,服务堆栈是安装 Windows 更新的组件。 服务堆栈更新 (SSU) 可确保你拥有强大且可靠的服务堆栈,让你的设备可以接收和安装 Microsoft 更新。 若要详细了解 SU,请参阅 简化服务堆栈更新的本地部署。
此更新中的已知问题
症状
安装此更新后,某些配置了未推荐的 BitLocker 组策略 的设备可能需要在首次重启时输入其 BitLocker 恢复密钥。
此问题仅影响有限数量的系统,其中所有以下条件都为 true。 在不受 IT 部门管理的个人设备上不太可能发现这些情况。
-
在 OS 驱动器上启用了 BitLocker。
-
配置组策略“为本机 UEFI 固件配置配置 TPM 平台验证配置文件”,并且 PCR7 包含在验证配置文件 (或手动设置等效的注册表项) 。
-
系统信息 (msinfo32.exe) 将安全启动状态 PCR7 绑定报告为“不可能”。
-
设备的安全启动签名数据库 (DB) 中存在 Windows UEFI CA 2023 证书,使设备有资格将 2023 年签名的 Windows 启动管理器设置为默认启动管理器。
-
设备尚未运行 2023 年签名的 Windows 启动管理器。
在此方案中,BitLocker 恢复密钥只需输入一次 -- 只要组策略配置保持不变,后续重启将不会触发 BitLocker 恢复屏幕。 有关查找 BitLocker 恢复密钥的帮助,请参阅 查找 BitLocker 恢复密钥一文。
建议企业审核其 BitLocker 组策略以明确包含 PCR7,并在安装此更新之前检查 msinfo32.exe其 PCR7 绑定状态。 (请参阅下面的选项 1。)
解决方法
选项 1:在安装更新之前删除组策略配置 (推荐)
-
打开组策略编辑器 (gpedit.msc) 或 组策略 管理控制台。
-
导航到: 计算机配置 > 管理模板 > Windows 组件 > BitLocker 驱动器加密 > 操作系统驱动器。
-
将“为本机 UEFI 固件配置配置 TPM 平台验证配置文件”设置为“未配置”。
-
在受影响的设备上运行以下命令以传播策略更改: gpupdate /force
-
运行以下命令,暂停在 C: 驱动器上启用了 BitLocker 的 BitLocker () : manage-bde -protectors -disable C:
-
运行以下命令以恢复 BitLocker (,其中在 C: 驱动器上启用了 BitLocker) : manage-bde -protectors -enable C:
-
这会更新 BitLocker 绑定以使用 Windows 选择的默认 PCR 配置文件。
选项 2:在安装更新之前应用已知问题回滚 (KIR)
已知问题回滚 (KIR) 适用于在部署此更新之前无法删除 PCR7 组策略的客户。 KIR 会阻止自动切换到 2023 启动管理器,从而避免 BitLocker 恢复触发器。 在受影响的设备上安装更新之前,应部署 KIR。 请联系Microsoft的业务支持 部门获取此 KIR。
后续步骤
计划在将来的 Windows 更新中永久解决此问题。 更多信息将在可用时提供。
如何获取此更新
安装此更新之前
Microsoft将操作系统的最新服务堆栈更新 (SSU) 与最新的累积更新 (LCU) 相结合。 有关 SSU 的一般信息,请参阅 服务堆栈更新。
安装此更新
若要安装此更新,请使用以下 Windows 和 Microsoft 发布通道之一。
|
可用 |
下一步 |
|
|
|
此更新从 Windows 更新 和 Microsoft Update 自动下载并安装。 |
|
可用 |
下一步 |
|
|
此更新根据配置的策略从 Windows 更新 for Business 自动下载并安装。 |
|
可用 |
下一步 |
|
|
若要从 Microsoft更新目录安装此版本,请选择与设备体系结构 (arm64 或 x64) 匹配的选项,然后按照说明进行操作。 |
安装此更新之前,可从Microsoft更新目录网站获取此更新的独立包 () 。 此 KB 包含一个或多个需要按特定顺序安装的 MSU 文件。
可以使用方法 1 (将所有 MSU 文件一起安装) 或方法 2 (单独安装每个 MSU 文件,以便) 安装此更新。
方法 1:将所有 MSU 文件一起安装
从Microsoft更新目录下载KB5083769的所有 MSU 文件,并将其放置在同一文件夹中, (例如 C:/Packages) 。 使用 部署映像服务和管理 (DISM.exe) 安装目标更新。 DISM 将使用 PackagePath 中指定的文件夹根据需要发现和安装一个或多个必备 MSU 文件。
更新 Windows 电脑
若要将此更新应用于正在运行的 Windows 电脑,请从提升的命令提示符运行以下命令:
|
DISM /Online /Add-Package /PackagePath:c:\packages\Windows11.0-KB5083769-arm64.msu |
或者,从提升的Windows PowerShell提示符运行以下命令:
|
Add-WindowsPackage -Online -PackagePath "c:\packages\Windows11.0-KB5083769-arm64.msu" |
或使用Windows 更新独立安装程序安装目标更新。
更新 Windows 安装媒体
若要将此更新应用于 Windows 安装媒体,请参阅 使用动态更新更新 Windows 安装媒体。
注意: 下载其他动态更新包时,请确保它们与此 KB 的月份匹配。 如果 SafeOS 动态更新或安装程序动态更新在此 KB 的同一个月内不可用,请使用每个版本的最近发布的版本。
若要将此更新添加到已装载的映像,请从提升的命令提示符运行以下命令:
|
DISM /Image:mountdir /Add-Package /PackagePath:Windows11.0-KB5083769-arm64.msu |
或者,从提升的Windows PowerShell提示符运行以下命令:
|
Add-WindowsPackage -Path "c:\offline" -PackagePath "Windows11.0-KB5083769-arm64.msu" -PreventPending |
方法 2:按顺序单独安装每个 MSU 文件
使用 DISM 或 Windows 更新独立安装程序按以下顺序单独下载并安装每个 MSU 文件:
-
windows11.0-kb5043080-arm64_df540a05f9b118e339c5520f4090bb5d450f090b.msu
-
windows11.0-kb5083769-arm64_4dadf0627d879901a72a6d8184fa2bb5e518a8e7.msu
|
注意: 此最新累积更新包括 AI 组件的更新。 尽管更新中包含 AI 组件更新,但 AI 组件仅适用于 Windows Copilot+ 电脑,不会安装在 Windows 电脑或Windows Server。 |
安装此更新之前,可从Microsoft更新目录网站获取此更新的独立包 () 。 此 KB 包含一个或多个需要按特定顺序安装的 MSU 文件。
可以使用方法 1 (将所有 MSU 文件一起安装) 或方法 2 (单独安装每个 MSU 文件,以便) 安装此更新。
方法 1:将所有 MSU 文件一起安装
从Microsoft更新目录下载KB5083769的所有 MSU 文件,并将其放置在同一文件夹中, (例如 C:/Packages) 。 使用 部署映像服务和管理 (DISM.exe) 安装目标更新。 DISM 将使用 PackagePath 中指定的文件夹根据需要发现和安装一个或多个必备 MSU 文件。
更新 Windows 电脑
若要将此更新应用于正在运行的 Windows 电脑,请从提升的命令提示符运行以下命令:
|
DISM /Online /Add-Package /PackagePath:c:\packages\Windows11.0-KB5083769-x64.msu |
或者,从提升的Windows PowerShell提示符运行以下命令:
|
Add-WindowsPackage -Online -PackagePath "c:\packages\Windows11.0-KB5083769-x64.msu" |
或使用Windows 更新独立安装程序安装目标更新。
更新 Windows 安装媒体
若要将此更新应用于 Windows 安装媒体,请参阅 使用动态更新更新 Windows 安装媒体。
注意: 下载其他动态更新包时,请确保它们与此 KB 的月份匹配。 如果 SafeOS 动态更新或安装程序动态更新在此 KB 的同一个月内不可用,请使用每个版本的最近发布的版本。
若要将此更新添加到已装载的映像,请从提升的命令提示符运行以下命令:
|
DISM /Image:mountdir /Add-Package /PackagePath:Windows11.0-KB5083769-x64.msu |
或者,从提升的Windows PowerShell提示符运行以下命令:
|
Add-WindowsPackage -Path "c:\offline" -PackagePath "Windows11.0-KB5083769-x64.msu" -PreventPending |
方法 2:按顺序单独安装每个 MSU 文件
使用 DISM 或 Windows 更新独立安装程序按以下顺序单独下载并安装每个 MSU 文件:
-
windows11.0-kb5043080-x64_953449672073f8fb99badb4cc6d5d7849b9c83e8.msu
-
windows11.0-kb5083769-x64_57f4bd47d73842dd239f2c18b8ce48c8bf1c1d5d.msu
|
注意: 此最新累积更新包括 AI 组件的更新。 尽管更新中包含 AI 组件更新,但 AI 组件仅适用于 Windows Copilot+ 电脑,不会安装在 Windows 电脑或Windows Server。 |
|
可用 |
下一步 |
|
|
如果按如下所示配置产品和分类,此更新会自动与 Windows Server Update Services (WSUS) 同步: 产品:Windows 11 分类:安全更新 |
如果要删除此更新
警告: 在决定删除此更新之前,请参阅 了解风险:为何不应卸载安全更新。
若要在安装组合的 SSU 和 LCU 包后删除 LCU,请使用 DISM/Remove-Package 命令行选项,并将 LCU 包名称用作参数。 可以使用以下命令查找包名称:DISM /online /get-packages。
在组合包上使用 /uninstall 开关运行 Windows 更新 独立安装程序 (wusa.exe) 将不起作用,因为组合包包含 SSU。 安装后,无法从系统中删除 SSU。
文件信息
有关此更新中提供的文件列表, 请下载累积更新5083769的文件信息。
有关服务堆栈更新中提供的文件列表, 请下载 SSU (KB5088467) - 版本 26100.8247 的文件信息。
