2026年4月14日—KB5082063 (作業系統建置版26100.32690)
Applies To
Release Date:
14/4/2026
Version:
作業系統建置版 26100.32690
這次 2025 (KB5082063) Windows Server累積更新包含了最新的安全修補與改進,以及上個月可選預覽版本的非安全更新。 若想了解更多安全更新、可選非安全預覽更新、帶外 (OOB) 更新,以及持續創新的差異,請參閱 Windows 每月更新說明。 關於 Windows 更新術語的資訊,請參閱不同類型的 Windows 軟體更新。
欲查看本版本的最新更新,請造訪 Windows 版本健康儀表板或 Windows Server 2025 的更新歷史頁面。
公告與訊息
本區提供與本版本相關的重要通知,包括公告、變更日誌及支援終止通知。
Windows 安全開機憑證到期
我重點是:大多數 Windows 裝置使用的安全開機憑證將於 2026 年 6 月起到期。 如果未及時更新,這可能會影響某些個人和商務裝置安全開機的能力。 為避免中斷,建議您檢閱指導方針,並採取行動事先更新憑證。 有關詳細資訊與準備步驟,請參閱 Windows 安全開機憑證到期與 CA 更新,以及 Windows Server 安全手冊部落格。
|
變更日期 |
變更描述 |
|
2026 年 4 月 14 日 |
新增已知問題:「未建議使用 BitLocker 群組原則設定的裝置可能需要輸入其 BitLocker 恢復金鑰」 |
改善
本次安全更新包含了自 2026 年 3 月 10 日) KB5078740 (的修正與品質改進。 以下摘要概述本次更新所涵蓋的關鍵議題。 此外,還包含可用的新功能。 括號內的粗體字表示變更的項目或區域。
-
[安全啟動]
-
透過此更新,Windows 品質更新包含更多高信心度裝置目標資料,擴大有資格自動獲得新安全開機憑證的裝置覆蓋範圍。 裝置只有在展現足夠成功的更新訊號並維持受控且分階段的部署後,才會收到新憑證。
-
此更新解決了裝置在安全開機更新後可能進入 BitLocker 復原的問題。
-
-
[Kerberos 協議] 此更新更改了 Kerberos 金鑰分發中心 (KDC) 操作的預設 DefaultDomainSupportedEncTypes 值,以利用 AES-SHA1 來處理未明確定義 msds-SupportedEncryptionTypes Active Directory 屬性的帳號。 欲了解更多資訊,請參閱《如何管理 Kerberos KDC 使用 RC4 以處理與 CVE-2026-20833 相關的服務帳號工單變更》。
-
[認證] 此更新改善了 Windows 在認證時使用 Kerberos 加密政策的方式。 安裝此更新後,Windows 會如預期讀取已設定的政策設定,有助於確保加密行為在整個網域中保持一致。
-
[藍牙] 此更新改善了設定與快速設定中的藍牙裝置管理,幫助連接裝置持續顯示,並讓新增與管理更為便利。
-
[圖像] 此更新改善了從 Win32 桌面應用程式列印時的色彩渲染效果。
-
[人脈網絡] 此更新提升了 Windows 使用 SMB 壓縮而非 QUIC 的可靠性。 安裝此更新後,SMB 在 QUIC 上的壓縮請求會更穩定地完成,減少逾時機率,並支援更流暢、更可靠的效能。
-
[PowerShell] 此更新改善了 PowerShell 中 Set-GPPrefRegistryValue 指令長匯入登錄檔偏好值的方式。 指令本現在會完整保留每個匯入的值,包括最後一個字元。
-
[遠端桌面] 此更新強化了對利用遠端桌面 (.rdp) 檔案的釣魚攻擊的防護。 當你打開 .rdp 檔案時,遠端桌面會在連接前顯示所有要求的連線設定,且預設每個設定都關閉。 首次在裝置上開啟 .rdp 檔案時,也會顯示一次性安全警告。 欲了解更多資訊,請參閱 「在 RDP) 檔案中開啟遠端桌面時 (安全警告。
-
[文字與字體] 此更新透過新增沙烏地里亞爾貨幣符號,改進了 Windows 字型。 這項改變有助於保持文字在 Windows 應用程式和體驗中清晰、準確且視覺一致。
-
[Windows 部署服務 (WDS) ] 此更新預設禁用 WDS 中的「免持部署」功能,且不再支援此功能。 欲了解更多關於此變更的資訊,請參閱 Windows 部署服務 (WDS) Hands-Free 與 CVE-2026-0386 相關的部署強化指引。
如果你已經安裝了先前的更新,裝置只會下載並安裝這個套件中包含的新更新。
欲了解更多安全漏洞資訊,請參閱安全更新指南及2026年4月安全匯報。
Windows Server 2025 服務堆疊更新 (KB5082062) - 26100.32692
此更新會對服務堆疊 (其為安裝 Windows 更新的元件) 進行品質改良。 服務堆疊更新 (SSU) 可確保您擁有穩健、可靠的服務堆疊,讓您的裝置可以收到並安裝 Microsoft 更新。 欲了解更多關於 SSU 的資訊,請參閱 簡化本地部署的服務堆疊更新。
此更新中的已知問題
問題
部分裝置設定不推薦的 BitLocker 群組原則,可能需要在安裝此更新後首次重啟時輸入 BitLocker 恢復金鑰。
此問題僅影響少數符合以下所有條件的系統。 這些狀況不太可能出現在非 IT 部門管理的個人裝置上。
-
作業系統磁碟機已啟用 BitLocker。
-
群組原則「為原生 UEFI 韌體配置配置 TPM 平台驗證設定檔」已設定,且 PCR7 包含在驗證設定檔中, (或手動設定等效登錄檔金鑰) 。
-
系統資訊 (msinfo32.exe) 報告安全開機狀態 PCR7 綁定為「不可能」。
-
Windows UEFI CA 2023 憑證存在於裝置的安全開機簽章資料庫 (資料庫) ,使該裝置有資格將 2023 年簽署的 Windows 開機管理器設為預設。
-
裝置尚未執行 2023 簽署的 Windows 開機管理器。
在這種情況下,BitLocker 恢復金鑰只需輸入一次——只要群組政策設定不變,之後的重啟不會觸發 BitLocker 恢復畫面。 如需協助尋找你的 BitLocker 恢復金鑰,請參閱文章《尋找你的 BitLocker 恢復金鑰》。
建議企業在安裝此更新前,審核其 BitLocker 群組政策是否明確包含 PCR7,並 msinfo32.exe 確認其 PCR7 綁定狀態。 (請見下方選項一 )
因應措施
選項一:安裝更新前先移除群組原則設定 (推薦)
-
打開 群組原則 編輯器 (gpedit.msc) 或你的 群組原則 管理主控台。
-
導航至: 電腦設定 > 管理範本 > Windows元件 > BitLocker磁碟機加密 > 作業系統磁碟機。
-
將「為原生 UEFI 韌體設定配置設定 TPM 平台驗證設定檔」設為「未設定」。
-
在受影響的裝置上執行以下指令以傳播政策變更: gpupdate /force
-
執行以下指令以暫停 BitLocker, (在 C: 磁碟機啟用) : manage-bde -protectors -disable C:
-
執行以下指令以恢復 BitLocker (在 C: 磁碟) 啟用 BitLocker 時: manage-bde -protectors -enable C:
-
此功能更新 BitLocker 綁定,使其使用 Windows 選擇的預設 PCR 設定檔。
選項二:在安裝更新前,先對 KIR) (套用已知問題回滾
對於無法在部署此更新前移除 PCR7 群組政策的客戶,可以使用 已知問題回滾功能 (KIR) 。 KIR 會阻止自動切換到 2023 開機管理器,避免 BitLocker 的復原觸發。 KIR 應該在受影響裝置安裝更新前部署。 請聯絡 Microsoft 的商業支援 以取得此 KIR。
後續步驟
這個問題預計會在未來的 Windows 更新中永久解決。 更多資訊將在有時提供。
安裝 KB5070881 或更新版本的更新之後,Windows Server Update Services (WSUS) 不會在其錯誤報告中顯示同步處理錯誤詳細資料。 此功能已暫時移除,以解決遠端程式碼執行弱點 CVE-2025-59287。
如何取得這個更新
安裝此更新前
Microsoft結合了作業系統最新的服務堆疊更新 (SSU) 與LCU) (累積更新。 關於 SSU 的一般資訊,請參見 服務堆疊更新。
安裝此更新
安裝此更新請使用以下 Windows 與 Microsoft 發布管道之一。
|
可供使用 |
後續步驟 |
|
|
|
此更新會自動從 Windows Update 和 Microsoft Update 下載並安裝。 |
|
可以使用 |
後續步驟 |
|
|
此更新會依照設定的政策自動從 Windows Update for Business 下載並安裝。 |
|
可以使用 |
後續步驟 |
|||||
|
|
要從 Microsoft 更新目錄安裝此版本,請遵循以下指示:在安裝此更新前, () 的獨立套件可於 Microsoft 更新目錄 網站取得。 此 KB 包含一個或多個需要特定順序安裝的 MSU 檔案。 你可以用方法1安裝此更新 (將所有MSU檔案一起安裝) 或方法2 (依序安裝每個MSU檔案,依序) 安裝。 方法一:將所有 MSU 檔案一起安裝 從 Update Catalog 下載所有 MSU 檔案KB5082063 Microsoft並將它們放到同一個資料夾 (例如 C:/Packages) 。 使用 Deployment Image Servicing and Management (DISM.exe) 安裝目標更新。 DISM 會依需求使用 PackagePath 指定的資料夾來發現並安裝一個或多個先決的 MSU 檔案。 更新 Windows 電腦 要將此更新套用於正在運行的 Windows 電腦,請從提升的命令提示字元執行以下指令:
或者,從提升的 Windows PowerShell 提示字元執行以下指令:
或者用 Windows Update 獨立安裝程式來安裝目標更新。 更新 Windows 安裝媒體 若要將此更新套用到 Windows 安裝媒體,請參見 「使用動態更新更新 Windows 安裝媒體」。 附註: 下載其他動態更新套件時,請確保它們與此知識庫同一個月。 如果 SafeOS 動態更新或設定動態更新與本知識庫同月無法取得,請使用最新版本。 要將此更新加入已掛載映像檔,請從升格命令提示字元執行以下指令:
或者,從提升的 Windows PowerShell 提示字元執行以下指令:
方法二:依序安裝每個 MSU 檔案 請依以下順序分別使用 DISM 或 Windows Update Standalone Installer 下載並安裝每個 MSU 檔案:
|
|
可供使用 |
後續步驟 |
|
|
若您設定產品與分類如下,此更新將自動Windows Server Update Services (與 WSUS) 同步: 產品:Microsoft Server 作業系統-24H2 分類:安全性更新 |
如果你想移除這個更新
注意: 在你決定移除此更新之前,請參閱 「了解風險:為什麼你不應該解除安裝安全更新」。
安裝合併的 SSU 與 LCU 套件後移除 LCU,請使用 DISM/Remove-Package 命令列選項,並以 LCU 套件名稱作為參數。 你可以用這個指令找到套件名稱: DISM /online /get-packages。
如果在合併套件上Windows Update (wusa.exe) 搭配 /uninstall 開關執行獨立安裝程式,因為合併套件內包含 SSU,無法運作。 安裝後無法移除 SSU。
檔案詳細資訊
如需本次更新所提供的檔案清單,請 下載累積更新5082063的檔案資訊。
欲查詢服務堆疊更新中提供的檔案清單,請 下載 SSU (KB5082062) - 版本 26100.32692 的檔案資訊。
Need more help?
Want more options?
探索訂閱權益、瀏覽訓練課程、瞭解如何保護您的裝置等等。
社群可協助您詢問並回答問題、提供意見反應,以及聆聽來自具有豐富知識的專家意見。
