2026 年 4 月 14 日—KB5082200 (OS 版本 19045.7184 與 19044.7184)
Applies To
Release Date:
14/4/2026
Version:
OS 版本 19045.7184 與 19044.7184
Windows 安全開機憑證到期
重要: 大部分 Windows 裝置使用的安全開機憑證設定為從 2026 年 6 月開始到期。 如果未及時更新,這可能會影響某些個人和商務裝置安全開機的能力。 為避免中斷,建議您檢閱指導方針,並採取行動事先更新憑證。
如需 Windows 裝置的詳細資料和準備步驟,請參閱 Windows 安全開機憑證到期和 CA 更新
如需 Windows 伺服器的詳細資料與準備步驟,請參閱以下資源:
|
變更日期 |
變更描述 |
|
2026 年 4 月 14 日 |
新增已知問題:「未建議使用 BitLocker 群組原則設定的裝置可能需要輸入其 BitLocker 恢復金鑰」 |
摘要
本文列出本次安全更新中包含的安全議題與品質改進。
適用於: Windows 10 ESU
重要: 使用 EKB KB5015684 更新到 Windows 10,版本 22H2。
本次安全更新包含以下更新中的修正與品質改進:
以下是安裝此更新後所解決的問題摘要。 如果有新功能,也會列出來。 括號內的粗體字表示我們正在記錄的變更項目或區域。
-
[登入] 已修正:在 2026 年 3 月 10 日或之後安裝 Windows 更新後,部分使用者可能會遇到使用 Microsoft 帳號登入應用程式時的問題。 即使裝置有正常的網路連線,登入時仍會出現「無網路」錯誤,阻止存取 Microsoft 服務和應用程式,例如 Microsoft Teams。
-
[遠端桌面] 此更新強化了對利用遠端桌面 (.rdp) 檔案的釣魚攻擊的防護。 當你打開 .rdp 檔案時,遠端桌面會在連接前顯示所有要求的連線設定,且預設每個設定都關閉。 首次在裝置上開啟 .rdp 檔案時,也會顯示一次性安全警告。 欲了解更多資訊,請參閱 「在 RDP) 檔案中開啟遠端桌面時 (安全警告。
-
[安全啟動]
-
此更新可於Windows 安全性應用程式 (設定中動態回報安全開機狀態 > & 安全 > Windows 安全性) 。 透過徽章與通知了解更多狀態提醒資訊。 請注意,這些增強功能在商業裝置和伺服器上預設是被關閉的。
-
此更新修正了裝置在安全開機更新後可能進入 BitLocker 復原的問題。
-
透過此更新,Windows 品質更新包含更多高信心度裝置目標資料,擴大有資格自動獲得新安全開機憑證的裝置覆蓋範圍。 裝置只有在展現足夠成功的更新訊號並維持受控且分階段的部署後,才會收到新憑證。
-
如果你安裝了較早的更新,只有這個套件中包含的新更新會被下載並安裝到你的裝置上。
欲了解更多安全漏洞資訊,請參閱新版安全更新指南網站及2026年4月安全匯報。
關於 Windows 更新術語的資訊,請參閱關於 Windows 更新類型 及 每月品質更新類型的文章。 關於 Windows 10 版本 22H2 的概述,請參閱其更新歷史頁面。
注意事項 請追蹤 @WindowsUpdate 以了解新內容何時發佈到 Windows 發布健康控制台。
此更新中的已知問題
問題
部分裝置設定不推薦的 BitLocker 群組原則,可能需要在安裝此更新後首次重啟時輸入 BitLocker 恢復金鑰。
此問題僅影響少數符合以下所有條件的系統。 這些狀況不太可能出現在非 IT 部門管理的個人裝置上。
-
作業系統磁碟機已啟用 BitLocker。
-
群組原則「為原生 UEFI 韌體配置配置 TPM 平台驗證設定檔」已設定,且 PCR7 包含在驗證設定檔中, (或手動設定等效登錄檔金鑰) 。
-
系統資訊 (msinfo32.exe) 報告安全開機狀態 PCR7 綁定為「不可能」。
-
Windows UEFI CA 2023 憑證存在於裝置的安全開機簽章資料庫 (資料庫) ,使該裝置有資格將 2023 年簽署的 Windows 開機管理器設為預設。
-
裝置尚未執行 2023 簽署的 Windows 開機管理器。
在這種情況下,BitLocker 恢復金鑰只需輸入一次——只要群組政策設定不變,之後的重啟不會觸發 BitLocker 恢復畫面。 如需協助尋找你的 BitLocker 恢復金鑰,請參閱文章《尋找你的 BitLocker 恢復金鑰》。
建議企業在安裝此更新前,審核其 BitLocker 群組政策是否明確包含 PCR7,並 msinfo32.exe 確認其 PCR7 綁定狀態。 (請見下方選項一 )
因應措施
選項一:安裝更新前先移除群組原則設定 (推薦)
-
打開 群組原則 編輯器 (gpedit.msc) 或你的 群組原則 管理主控台。
-
導航至: 電腦設定 > 管理範本 > Windows元件 > BitLocker磁碟機加密 > 作業系統磁碟機。
-
將「為原生 UEFI 韌體設定配置設定 TPM 平台驗證設定檔」設為「未設定」。
-
在受影響的裝置上執行以下指令以傳播政策變更: gpupdate /force
-
執行以下指令以暫停 BitLocker, (在 C: 磁碟機啟用) : manage-bde -protectors -disable C:
-
執行以下指令以恢復 BitLocker (在 C: 磁碟) 啟用 BitLocker 時: manage-bde -protectors -enable C:
-
此功能更新 BitLocker 綁定,使其使用 Windows 選擇的預設 PCR 設定檔。
選項二:在安裝更新前,先對 KIR) (套用已知問題回滾
對於無法在部署此更新前移除 PCR7 群組政策的客戶,可以使用 已知問題回滾功能 (KIR) 。 KIR 會阻止自動切換到 2023 開機管理器,避免 BitLocker 的復原觸發。 KIR 應該在受影響裝置安裝更新前部署。 請聯絡 Microsoft 的商業支援 以取得此 KIR。
後續步驟
這個問題預計會在未來的 Windows 更新中永久解決。 更多資訊將在有時提供。
適用於: Windows 10 企業版 LTSC 2021 與 Windows 10 IoT 企業版 LTSC 2021
重要: 使用 EKB KB5003791 更新到 Windows 10,支援版本為 21H2。
本次安全更新包含以下更新中的修正與品質改進:
以下是安裝此更新後所解決的問題摘要。 如果有新功能,也會列出來。 括號內的粗體字表示我們正在記錄的變更項目或區域。
-
[登入] 已修正:在 2026 年 3 月 10 日或之後安裝 Windows 更新後,部分使用者可能會遇到使用 Microsoft 帳號登入應用程式時的問題。 即使裝置有正常的網路連線,登入時仍會出現「無網路」錯誤,阻止存取 Microsoft 服務和應用程式,例如 Microsoft Teams。
-
[授權] 改進:此更新解決了影響 Long-Term Servicing Channel (LTSC) ) DISM (Deployment Image Servicing and Management 建立映像的問題。 由於授權執行受限,DISM離線作業無法套用安全更新。 現在,你可以在離線建立 LTSC 映像時,使用 DISM 來新增安全套件。
-
Windows 10 IoT 企業版 LTSC 2021
-
Windows 10 企業版 G SKU
-
Windows 10 企業版 N LTSC
-
-
[遠端桌面] 此更新強化了對利用遠端桌面 (.rdp) 檔案的釣魚攻擊的防護。 當你打開 .rdp 檔案時,遠端桌面會在連接前顯示所有要求的連線設定,且預設每個設定都關閉。 首次在裝置上開啟 .rdp 檔案時,也會顯示一次性安全警告。 欲了解更多資訊,請參閱 「在 RDP) 檔案中開啟遠端桌面時 (安全警告。
-
[安全啟動]
-
此更新可於Windows 安全性應用程式 (設定中動態回報安全開機狀態 > & 安全 > Windows 安全性) 。 透過徽章與通知了解更多狀態提醒資訊。 請注意,這些增強功能在商業裝置和伺服器上預設是被關閉的。
-
此更新修正了裝置在安全開機更新後可能進入 BitLocker 復原的問題。
-
透過此更新,Windows 品質更新包含更多高信心度裝置目標資料,擴大有資格自動獲得新安全開機憑證的裝置覆蓋範圍。 裝置只有在展現足夠成功的更新訊號並維持受控且分階段的部署後,才會收到新憑證。
-
如果你安裝了較早的更新,只有這個套件中包含的新更新會被下載並安裝到你的裝置上。
欲了解更多安全漏洞資訊,請參閱新版安全更新指南網站及2026年4月安全匯報。
關於 Windows 更新術語的資訊,請參閱關於 Windows 更新類型 及 每月品質更新類型的文章。 關於 Windows 10 版本 22H2 的概述,請參閱其更新歷史頁面。
注意事項 請追蹤 @WindowsUpdate 以了解新內容何時發佈到 Windows 發布健康控制台。
此更新中的已知問題
問題
部分裝置設定不推薦的 BitLocker 群組原則,可能需要在安裝此更新後首次重啟時輸入 BitLocker 恢復金鑰。
此問題僅影響少數符合以下所有條件的系統。 這些狀況不太可能出現在非 IT 部門管理的個人裝置上。
-
作業系統磁碟機已啟用 BitLocker。
-
群組原則「為原生 UEFI 韌體配置配置 TPM 平台驗證設定檔」已設定,且 PCR7 包含在驗證設定檔中, (或手動設定等效登錄檔金鑰) 。
-
系統資訊 (msinfo32.exe) 報告安全開機狀態 PCR7 綁定為「不可能」。
-
Windows UEFI CA 2023 憑證存在於裝置的安全開機簽章資料庫 (資料庫) ,使該裝置有資格將 2023 年簽署的 Windows 開機管理器設為預設。
-
裝置尚未執行 2023 簽署的 Windows 開機管理器。
在這種情況下,BitLocker 恢復金鑰只需輸入一次——只要群組政策設定不變,之後的重啟不會觸發 BitLocker 恢復畫面。 如需協助尋找你的 BitLocker 恢復金鑰,請參閱文章《尋找你的 BitLocker 恢復金鑰》。
建議企業在安裝此更新前,審核其 BitLocker 群組政策是否明確包含 PCR7,並 msinfo32.exe 確認其 PCR7 綁定狀態。 (請見下方選項一 )
因應措施
選項一:安裝更新前先移除群組原則設定 (推薦)
-
打開 群組原則 編輯器 (gpedit.msc) 或你的 群組原則 管理主控台。
-
導航至: 電腦設定 > 管理範本 > Windows元件 > BitLocker磁碟機加密 > 作業系統磁碟機。
-
將「為原生 UEFI 韌體設定配置設定 TPM 平台驗證設定檔」設為「未設定」。
-
在受影響的裝置上執行以下指令以傳播政策變更: gpupdate /force
-
執行以下指令以暫停 BitLocker, (在 C: 磁碟機啟用) : manage-bde -protectors -disable C:
-
執行以下指令以恢復 BitLocker (在 C: 磁碟) 啟用 BitLocker 時: manage-bde -protectors -enable C:
-
此功能更新 BitLocker 綁定,使其使用 Windows 選擇的預設 PCR 設定檔。
選項二:在安裝更新前,先對 KIR) (套用已知問題回滾
對於無法在部署此更新前移除 PCR7 群組政策的客戶,可以使用 已知問題回滾功能 (KIR) 。 KIR 會阻止自動切換到 2023 開機管理器,避免 BitLocker 的復原觸發。 KIR 應該在受影響裝置安裝更新前部署。 請聯絡 Microsoft 的商業支援 以取得此 KIR。
後續步驟
這個問題預計會在未來的 Windows 更新中永久解決。 更多資訊將在有時提供。
Windows 10 服務堆疊更新 (KB5084130) - 版本 19041.7183
Microsoft現在結合了作業系統最新的服務堆疊更新 (SSU) 與最新的累積更新 (LCU) 。 SSU 提升更新過程的可靠性,並修正服務堆疊(安裝 Windows 更新的元件)。
附註: 此服務堆疊更新 (SSU) 包含強化邏輯,以驗證裝置是否託管於 Azure,並利用更新的憑證鏈進行驗證。 為確保裝置能存取必要的憑證更新網域以成功下載與安裝憑證更新,請參閱憑證下載與撤銷清單及 Azure 憑證授權機構詳細資料。 欲了解更多關於 SSU 的資訊,請參閱 服務堆疊更新。
如何取得此更新
安裝此更新前
重要 你必須安裝最新的Windows 10維修堆疊更新 (SSU) 。 在套用 Windows 更新前不安裝最新的 SSU,可能會導致該 Windows 更新直到安裝完成後才會提供。
根據您的安裝情境,請選擇以下之一:
安裝此更新
安裝此更新請使用以下 Windows 與 Microsoft 發布管道之一。
|
可供使用 |
後續步驟 |
|
|
此更新將從 Windows Update 自動下載並安裝。 |
|
可以使用 |
後續步驟 |
|
|
此更新將依照已設定的政策,從 Windows Update for Business 自動下載並安裝。 |
|
可供使用 |
後續步驟 |
|
|
要取得本次更新的獨立套件,請前往 Microsoft Update 目錄 網站。 關於如何從更新目錄下載及安裝更新的資訊,請參閱「如何從 Windows Update 目錄下載包含驅動程式與熱修正的更新」。 |
|
可供使用 |
後續步驟 |
|
|
若您設定產品與分類如下,此更新將自動Windows Server Update Services (與 WSUS) 同步:
若要依產品與分類設定 WSUS 伺服器同步,請參閱「 依產品與分類同步更新」。 若要手動將更新匯入 WSUS,請參見 「使用 PowerShell 將更新匯入 WSUS」。 |
檔案詳細資訊
本次更新中包含的檔案清單以 CSV 格式提供,包含逗號 (分隔的) (*.csv) 檔案。 該檔案可在文字編輯器如記事本或 Microsoft Excel 中開啟。
附註: 英文 (美國) 版本的軟體更新可能包含其他語言的檔案。
![[下載] 圖示](/images/zh-tw/dcac5586-5e57-4421-a25c-6f560016c041?format=avif&w=800)
相關資訊
如果你想移除這個更新
警告 在您決定移除此更新之前,請參閱 「了解風險:為何不應解除安裝安全更新」。
安裝合併的 SSU 與 LCU 套件後移除 LCU,請使用 DISM/Remove-Package 命令列選項,並以 LCU 套件名稱作為參數。 你可以用這個指令找到套件名稱: DISM /online /get-packages。
如果在合併套件上Windows Update (wusa.exe) 搭配 /uninstall 開關執行獨立安裝程式,因為合併套件內包含 SSU,無法運作。 安裝後無法移除 SSU。
關於 Microsoft Store 應用程式更新的通知
Windows 更新不會安裝 Microsoft Store 應用程式更新。 如果你是企業用戶,請參閱 Microsoft Store 應用程式 - Configuration Manager。 如果你是消費者用戶,請參閱 Microsoft Store 中「獲取應用程式與遊戲更新」。
結束支援資訊
針對 Windows 10 版本 21H2/22H2 與 Windows 10 企業版 LTSC 2021 的終止支援
下列截止日期起,Microsoft 將不再提供 Windows Update、技術協助或安全性問題修正的免費軟體更新:
♦ Windows 10,版本 21H2: 支援已於 2023 年 6 月 13 日結束
♦ Windows 10,版本 22H2: 支援已於 2025 年 10 月 14 日結束
♦ Windows 10 企業版 LTSC 2021: 2027 年 1 月 12 日
♦ Windows 10 IoT 企業版 LTSC 2021: 2032 年 1 月 13 日
附註: 若要繼續接收 Windows 10 的關鍵及重要安全性更新,請參閱Windows 10 延伸安全性更新 (ESU)。 否則,我們建議您升級至較新版本的 Windows。
Need more help?
Want more options?
探索訂閱權益、瀏覽訓練課程、瞭解如何保護您的裝置等等。
社群可協助您詢問並回答問題、提供意見反應,以及聆聽來自具有豐富知識的專家意見。
