2026 年 4 月 19 日 - KB5091575 (作業系统组建 20348.5024) 頻外

公告與訊息

本區提供與本版本相關的重要通知，包括公告、變更日誌及支援終止通知。

Windows 安全開機憑證到期

重要： 大部分 Windows 裝置使用的安全開機憑證設定為從 2026 年 6 月開始到期。如果未及時更新，這可能會影響某些個人和商務裝置安全開機的能力。為避免中斷，建議您檢閱指導方針，並採取行動事先更新憑證。

如需 Windows 裝置的詳細資料和準備步驟，請參閱 Windows 安全開機憑證到期和 CA 更新

如需 Windows 伺服器的詳細資料與準備步驟，請參閱以下資源：

變更日期	變更描述
2026年5月7日	新增了已知問題的解決方案：「與遠端桌面相關的警告可能無法正確顯示」。
2026年4月27日	已修正已知問題「遠端桌面相關警告可能無法正確顯示」。
2026年4月23日	新增已知問題：「與遠端桌面相關的警告可能無法正確顯示」。
2026年4月21日	新增已知問題：「未建議使用 BitLocker 群組原則設定的裝置，可能需要輸入其 BitLocker 恢復金鑰。」

這次 2022 Windows Server (KB5091575) 的頻外更新是累積性的。它包含了以下更新中包含的修正與改進：

以下是安裝此更新時，這個頻外更新所解決的問題摘要。括號內的粗體字表示我們正在記錄的變更項目或區域。

[網域控制器 (已知問題) ] 已修復：安裝 2026 年 4 月 14 日 (KB5082142) Windows 安全更新並重新啟動後，使用特權存取管理 (PAM)的多域森林網域控制器可能會遇到啟動問題。在某些情況下，LSASS (地方安全管理機構子系統服務) 可能停止回應，導致多次重啟，並導致認證與目錄服務無法使用，進而使網域無法使用。

如果你安裝了較早的更新，裝置只會下載並安裝這個套件中包含的新更新。

欲查看本版本的最新更新，請造訪 Windows 版本健康儀表板或 Windows Server 2022 的更新歷史頁面。

Microsoft現在結合了作業系統最新的服務堆疊更新 (SSU) 與最新的累積更新 (LCU) 。 SSU 提升更新過程的可靠性，並修正服務堆疊（安裝 Windows 更新的元件）。欲了解更多關於 SSU 的資訊，請參閱服務堆疊更新。

問題

部分裝置若設定了不建議的 BitLocker 群組原則，可能需要在安裝此更新後首次重新啟動時輸入 BitLocker 修復金鑰。

此問題僅影響少數符合以下所有條件的系統。這些條件不太可能出現在非 IT 部門管理的個人裝置上。

BitLocker 不是在這個作業系統磁碟機上啟用。
群組原則「為原生 UEFI 韌體組態設定 TPM 平台驗證設定檔」已設定，且驗證設定檔中包含 PCR7 (或手動設定了等效的登錄機碼)。
系統資訊 (msinfo32.exe) 報告安全開機狀態 PCR7 綁定為「不可能」。
Windows UEFI CA 2023 憑證存在於裝置的安全開機簽章資料庫 (DB) 中，使該裝置有資格將 2023 年簽署的 Windows 開機管理程式設為預設。
裝置尚未執行 2023 年簽署的 Windows 開機管理程式。

在此案例中，只要群組原則設定保持不變，BitLocker 修復金鑰只需要輸入一次 -- 後續重新啟動不會觸發 BitLocker 修復畫面。如需協助尋找你的 BitLocker 恢復金鑰，請參閱文章《尋找你的 BitLocker 恢復金鑰》。

建議企業在安裝此更新前，審核其 BitLocker 群組原則是否明確包含 PCR7，並使用 msinfo32.exe 檢查 PCR7 綁定狀態。 (請參考下方的解決方法 )

因應措施

安裝更新前請移除群組原則設定 (建議)

請開啟群組原則編輯器 (gpedit.msc) 或群組原則管理主控台。
請導覽至: 電腦設定 > 管理範本 > Windows 元件 > BitLocker 磁碟機加密 > 作業系統磁碟機。
將「為原生 UEFI 韌體組態設定 TPM 平台驗證設定檔」設為「未設定」。
請在受影響的裝置上執行以下指令以套用原則變更: gpupdate /force
請執行以下指令以暫停 BitLocker (當 BitLocker 在 C: 磁碟機啟用時): manage-bde -protectors -disable C:
請執行以下指令以恢復 BitLocker (當 BitLocker 在 C: 磁碟機啟用時): manage-bde -protectors -enable C:
此更新會將 BitLocker 綁定改為使用 Windows 選擇的預設 PCR 設定檔。