2026 年 4 月 14 日 — KB5082142 (作業系統組建 20348.5020)
Applies To
Release Date:
14/4/2026
Version:
作業系統建置版 20348.5020
這次 2022 (KB5082142) Windows Server 的累積更新包含了最新的安全修補與改進,以及上個月可選預覽版的非安全更新。 若想了解更多安全更新、可選非安全預覽更新、帶外 (OOB) 更新,以及持續創新的差異,請參閱 Windows 每月更新說明。 關於 Windows 更新術語的資訊,請參閱不同類型的 Windows 軟體更新。
欲查看本版本的最新更新,請造訪 Windows 版本健康儀表板或 Windows Server 2022 的更新歷史頁面。
公告與訊息
本區提供與本版本相關的重要通知,包括公告、變更日誌及支援終止通知。
Windows 安全開機憑證到期
重要: 大部分 Windows 裝置使用的安全開機憑證設定為從 2026 年 6 月開始到期。 如果未及時更新,這可能會影響某些個人和商務裝置安全開機的能力。 為避免中斷,建議您檢閱指導方針,並採取行動事先更新憑證。 如需詳細資料和準備步驟,請參閱 Windows 安全開機憑證到期和 CA 更新。
|
變更日期 |
變更描述 |
|
2025年4月17日 |
已知問題「安裝此更新後網域控制器可能會反覆重啟」,已更新以釐清說明。 |
|
2026年4月16日 |
已知問題新增:「安裝此更新後,網域控制器可能會反覆重啟」 |
|
2026 年 4 月 14 日 |
新增已知問題:「未建議使用 BitLocker 群組原則設定的裝置可能需要輸入其 BitLocker 恢復金鑰」 |
改善
本次安全更新包含了自 2026 年 3 月 10 日) 釋出的 KB5078766 (的修正與品質改進。 以下摘要概述本次更新所涵蓋的關鍵議題。 此外,還包含可用的新功能。 括號內的粗體字表示變更的項目或區域。
-
[連接性] 此更新提升了 Windows 音訊功能的可靠性,有助於減少系統因聲音或音訊活動而產生的無反應問題。
-
[核心]此更新提升了系統在大型檔案操作期間的穩定性。 使用者在處理或傳輸大型檔案時,應較少遇到意外中斷的情況。
-
[Kerberos 協議] 此更新更改 Kerberos 金鑰分發中心 (KDC) 作業的預設 DefaultDomainSupportedEncTypes 值,以利用 AES-SHA1 用於未明確定義 msds-SupportedEncryptionTypes Active Directory 屬性的帳號。 欲了解更多資訊,請參閱 《如何管理 Kerberos KDC 使用 RC4 以處理與 CVE-2026-20833 相關的服務帳號工單變更》。
-
[人脈網絡] 此更新提升了 Windows 使用 SMB 壓縮而非 QUIC 的可靠性。 安裝此更新後,SMB 在 QUIC 上的壓縮請求會更穩定地完成,減少逾時機率,並支援更流暢、更可靠的效能。
-
[遠端桌面] 此更新強化了對利用遠端桌面 (.rdp) 檔案的釣魚攻擊的防護。 當你打開 .rdp 檔案時,遠端桌面會在連接前顯示所有要求的連線設定,且預設每個設定都關閉。 首次在裝置上開啟 .rdp 檔案時,也會顯示一次性安全警告。 欲了解更多資訊,請參閱 「在 RDP) 檔案中開啟遠端桌面時 (安全警告。
-
[安全啟動]
-
透過此更新,Windows 品質更新包含更多高信心度裝置目標資料,擴大有資格自動獲得新安全開機憑證的裝置覆蓋範圍。 裝置只有在展現足夠成功的更新訊號並維持受控且分階段的部署後,才會收到新憑證。
-
此更新解決了裝置在安全開機更新後可能進入 BitLocker 復原的問題。
-
-
[文字與字體] 此更新透過新增沙烏地里亞爾貨幣符號,改進了 Windows 字型。 這項改變有助於保持文字在 Windows 應用程式和體驗中清晰、準確且視覺一致。
-
[Windows 部署服務 (WDS) ] 此更新預設禁用 WDS 中的「免持部署」功能,且不再支援此功能。 欲了解更多關於此變更的資訊,請參閱 Windows 部署服務 (WDS) Hands-Free 與 CVE-2026-0386 相關的部署強化指引。
如果你已經安裝了先前的更新,裝置只會下載並安裝這個套件中包含的新更新。
欲了解更多安全漏洞資訊,請參閱安全更新指南及2026年4月安全匯報。
Windows Server 2022 服務堆疊更新 (KB5082137) -20348.5021
此更新會對服務堆疊 (其為安裝 Windows 更新的元件) 進行品質改良。 服務堆疊更新 (SSU) 可確保您擁有穩健、可靠的服務堆疊,讓您的裝置可以收到並安裝 Microsoft 更新。 欲了解更多關於 SSU 的資訊,請參閱 簡化本地部署的服務堆疊更新。
此更新中的已知問題
問題
安裝此更新後,位於森林中多個網域且使用 PAM) (特 權存取管理 的環境中 () 域控制器,啟動時可能會遇到 LSASS 當機。 因此,受影響的 DC 可能會反覆重啟,導致認證與目錄服務無法運作,甚至使該網域無法使用。
因應措施
IT 管理員可以聯繫 Microsoft 支援服務部門,以取得緩解措施。 此緩解措施可適用於已安裝此更新或安裝前的裝置。
Microsoft 正在努力解決這個問題,並將在未來幾天內發布解決方案。
問題
部分裝置設定不推薦的 BitLocker 群組原則,可能需要在安裝此更新後首次重啟時輸入 BitLocker 恢復金鑰。
此問題僅影響少數符合以下所有條件的系統。 這些狀況不太可能出現在非 IT 部門管理的個人裝置上。
-
作業系統磁碟機已啟用 BitLocker。
-
群組原則「為原生 UEFI 韌體配置配置 TPM 平台驗證設定檔」已設定,且 PCR7 包含在驗證設定檔中, (或手動設定等效登錄檔金鑰) 。
-
系統資訊 (msinfo32.exe) 報告安全開機狀態 PCR7 綁定為「不可能」。
-
Windows UEFI CA 2023 憑證存在於裝置的安全開機簽章資料庫 (資料庫) ,使該裝置有資格將 2023 年簽署的 Windows 開機管理器設為預設。
-
裝置尚未執行 2023 簽署的 Windows 開機管理器。
在這種情況下,BitLocker 恢復金鑰只需輸入一次——只要群組政策設定不變,之後的重啟不會觸發 BitLocker 恢復畫面。 如需協助尋找你的 BitLocker 恢復金鑰,請參閱文章《尋找你的 BitLocker 恢復金鑰》。
建議企業在安裝此更新前,審核其 BitLocker 群組政策是否明確包含 PCR7,並 msinfo32.exe 確認其 PCR7 綁定狀態。 (請見下方選項一 )
因應措施
選項一:安裝更新前先移除群組原則設定 (推薦)
-
打開 群組原則 編輯器 (gpedit.msc) 或你的 群組原則 管理主控台。
-
導航至: 電腦設定 > 管理範本 > Windows元件 > BitLocker磁碟機加密 > 作業系統磁碟機。
-
將「為原生 UEFI 韌體設定配置設定 TPM 平台驗證設定檔」設為「未設定」。
-
在受影響的裝置上執行以下指令以傳播政策變更: gpupdate /force
-
執行以下指令以暫停 BitLocker, (在 C: 磁碟機啟用) : manage-bde -protectors -disable C:
-
執行以下指令以恢復 BitLocker (在 C: 磁碟) 啟用 BitLocker 時: manage-bde -protectors -enable C:
-
此功能更新 BitLocker 綁定,使其使用 Windows 選擇的預設 PCR 設定檔。
選項二:在安裝更新前,先對 KIR) (套用已知問題回滾
對於無法在部署此更新前移除 PCR7 群組政策的客戶,可以使用 已知問題回滾功能 (KIR) 。 KIR 會阻止自動切換到 2023 開機管理器,避免 BitLocker 的復原觸發。 KIR 應該在受影響裝置安裝更新前部署。 請聯絡 Microsoft 的商業支援 以取得此 KIR。
後續步驟
這個問題預計會在未來的 Windows 更新中永久解決。 更多資訊將在有時提供。
安裝 KB5070884 或更新版本的更新之後,Windows Server Update Services (WSUS) 不會在其錯誤報告中顯示同步處理錯誤詳細資料。 此功能已暫時移除,以解決遠端程式碼執行弱點 CVE-2025-59287。
如何取得此更新
安裝此更新前
Microsoft現在結合了作業系統最新的服務堆疊更新 (SSU) 與最新的累積更新 (LCU) 。 關於 SSU 的一般資訊,請參見 服務堆疊更新。
離線作業系統映像服務的前提條件:
請確保你的影像包含 KB5030216 202) 3/12/09/12 (或更晚的 LCU。 如果沒有,請先在離線媒體安裝,再安裝最新更新。 本LCU將SSU版本更新為20348.1960。 這是你必須擁有的最低 SSU 版本,才能防止錯誤0x800f0823 (CBS_E_NEW_SERVICING_STACK_REQUIRED) 。
安裝此更新
安裝此更新請使用以下 Windows 與 Microsoft 發布管道之一。
|
可供使用 |
後續步驟 |
|
|
此更新會自動從 Windows Update 和 Microsoft Update 下載並安裝。 |
|
可以使用 |
後續步驟 |
|
|
此更新會依照設定的政策自動從 Windows Update for Business 下載並安裝。 |
|
可以使用 |
後續步驟 |
|
|
要取得本次更新的獨立套件,請前往 Microsoft Update 目錄網站。 |
|
可供使用 |
後續步驟 |
|
|
若您設定產品與分類如下Windows Server Update Services (,此更新會自動與 WSUS) 同步: 產品:Microsoft Server 作業系統-21H2 分類:安全性更新 |
如果你想移除這個更新
注意: 在你決定移除此更新之前,請參閱 「了解風險:為什麼你不應該解除安裝安全更新」。
安裝合併的 SSU 與 LCU 套件後移除 LCU,請使用 DISM/Remove-Package 命令列選項,並以 LCU 套件名稱作為參數。 你可以用這個指令找到套件名稱: DISM /online /get-packages。
如果在合併套件上Windows Update (wusa.exe) 搭配 /uninstall 開關執行獨立安裝程式,因為合併套件內包含 SSU,無法運作。 安裝後無法移除 SSU。
檔案資訊
如需本次更新所提供的檔案清單,請下載累積更新5082142 的檔案資訊。
欲查詢服務堆疊更新中提供的檔案清單,請 下載 SSU (KB5082137) - 版本 20348.5021 的檔案資訊。
Need more help?
Want more options?
探索訂閱權益、瀏覽訓練課程、瞭解如何保護您的裝置等等。
社群可協助您詢問並回答問題、提供意見反應,以及聆聽來自具有豐富知識的專家意見。
