2026 年 4 月 14 日—KB5082200 (作業系統組建 19045.7184 與 19044.7184)
Applies To
Release Date:
14/4/2026
Version:
OS 版本 19045.7184 與 19044.7184
Windows 安全開機憑證到期
重要:大部分 Windows 裝置使用的安全開機憑證設定為從 2026 年 6 月開始到期。 Microsoft 過去幾個月一直在消費者裝置和非受管商務裝置上更新這些憑證。 尚未收到新憑證的裝置將持續正常啟動與運作,而標準的 Windows 更新也將會持續安裝。 未來幾個月,我們會透過 Windows 更新持續安裝較新的憑證。
您可以在 Windows 安全性應用程式 中查看電腦狀態。 如果您是 IT 系統管理員,請遵循適用於 Windows 用戶端的安全開機劇本 (英文) 和 Windows Server (英文) 中的指導。
摘要
本文列出本次安全更新中包含的安全議題與品質改進。
適用於: Windows 10 ESU
重要: 使用 EKB KB5015684 更新到 Windows 10,版本 22H2。
本次安全更新包含以下更新中的修正與品質改進:
以下是安裝此更新後所解決的問題摘要。 如果有新功能,也會列出來。 括號內的粗體字表示我們正在記錄的變更項目或區域。
-
[登入] 已修正:在 2026 年 3 月 10 日或之後安裝 Windows 更新後,部分使用者可能會遇到使用 Microsoft 帳號登入應用程式時的問題。 即使裝置有正常的網路連線,登入時仍會出現「無網路」錯誤,阻止存取 Microsoft 服務和應用程式,例如 Microsoft Teams。
-
[遠端桌面] 此更新強化了對利用遠端桌面 (.rdp) 檔案的釣魚攻擊的防護。 當你打開 .rdp 檔案時,遠端桌面會在連接前顯示所有要求的連線設定,且預設每個設定都關閉。 首次在裝置上開啟 .rdp 檔案時,也會顯示一次性安全警告。 欲了解更多資訊,請參閱 「在 RDP) 檔案中開啟遠端桌面時 (安全警告。
-
[安全啟動]
-
此更新可於Windows 安全性應用程式 (設定中動態回報安全開機狀態 > & 安全 > Windows 安全性) 。 透過徽章與通知了解更多狀態提醒資訊。 請注意,這些增強功能在商業裝置和伺服器上預設是被關閉的。
-
此更新修正了裝置在安全開機更新後可能進入 BitLocker 復原的問題。
-
透過此更新,Windows 品質更新包含更多高信心度裝置目標資料,擴大有資格自動獲得新安全開機憑證的裝置覆蓋範圍。 裝置只有在展現足夠成功的更新訊號並維持受控且分階段的部署後,才會收到新憑證。
-
-
[易受影響的驅動者封鎖名單] 此更新引入了一項安全強化變更,將已知有漏洞的核心驅動程式加入 Microsoft 有漏洞驅動程式的封鎖清單。 依賴被封鎖驅動程式的備份應用程式,在嘗試掛載或管理磁碟映像時可能會失敗。
這些依賴被封鎖驅動程式的應用程式可能會顯示錯誤訊息,包括「備份失敗,因為 VSS 在快照建立時逾時」Microsoft VSS_E_BAD_STATE。 受影響的使用者應更新至使用包含必要防護的新驅動程式版本。 更多資訊請參閱 2026 年 4 月的 Windows 安全更新,對已知有漏洞的核心驅動程式引入保護措施。
如果你安裝了較早的更新,只有這個套件中包含的新更新會被下載並安裝到你的裝置上。
欲了解更多安全漏洞資訊,請參閱新版安全更新指南網站及2026年4月安全匯報。
關於 Windows 更新術語的資訊,請參閱關於 Windows 更新類型 及 每月品質更新類型的文章。 關於 Windows 10 版本 22H2 的概述,請參閱其更新歷史頁面。
注意事項 請追蹤 @WindowsUpdate 以了解新內容何時發佈到 Windows 發布健康控制台。
此更新中的已知問題
-
若裝置設定不推薦 BitLocker 群組原則,可能需要輸入其 BitLocker 恢復金鑰
症狀
部分裝置若設定了不建議的 BitLocker 群組原則,可能需要在安裝此更新後首次重新啟動時輸入 BitLocker 修復金鑰。
此問題僅影響符合以下所有條件的少數系統。 這些條件不太可能出現在非 IT 部門管理的個人裝置上。
-
BitLocker 不是在這個作業系統磁碟機上啟用。
-
群組原則「為原生 UEFI 韌體組態設定 TPM 平台驗證設定檔」已設定,且驗證設定檔中包含 PCR7 (或手動設定了等效的登錄機碼)。
-
系統資訊 (msinfo32.exe) 報告安全開機狀態 PCR7 綁定為「不可能」。
-
Windows UEFI CA 2023 憑證存在於裝置的安全開機簽章資料庫 (DB) 中,使該裝置有資格將 2023 年簽署的 Windows 開機管理程式設為預設。
-
裝置尚未執行 2023 年簽署的 Windows 開機管理程式。
在此案例中,只要群組原則設定保持不變,BitLocker 修復金鑰只需要輸入一次 -- 後續重新啟動不會觸發 BitLocker 修復畫面。 如需尋找 BitLocker 修復金鑰的說明,請參閱此文章: 尋找您的 BitLocker 修復金鑰。
建議企業在安裝此更新前,審核其 BitLocker 群組原則是否明確包含 PCR7,並使用 msinfo32.exe 檢查 PCR7 綁定狀態。
解決方式
我們正在研究解決方案,並將於其可供使用時,提供詳細資訊。
為暫時解決此問題,建議在安裝更新前移除群組原則設定。
-
請開啟群組原則編輯器 (gpedit.msc) 或群組原則管理主控台。
-
請導覽至: 電腦設定 > 管理範本 > Windows 元件 > BitLocker 磁碟機加密 > 作業系統磁碟機。
-
將「為原生 UEFI 韌體組態設定 TPM 平台驗證設定檔」設為「未設定」。
-
請在受影響的裝置上執行以下指令以套用原則變更: gpupdate /force
-
請執行以下指令以暫停 BitLocker (當 BitLocker 在 C: 磁碟機啟用時): manage-bde -protectors -disable C:
-
請執行以下指令以恢復 BitLocker (當 BitLocker 在 C: 磁碟機啟用時): manage-bde -protectors -enable C:
-
此更新會將 BitLocker 綁定改為使用 Windows 選擇的預設 PCR 設定檔。
-
-
遠端桌面安全警告可能無法正確 顯示症狀
安裝此更新後,開啟遠端桌面 (RDP) 檔案時出現的安全警告,在某些情況下可能無法正確顯示。
這個問題可能發生在你使用多台螢幕,顯示縮放設定不同的 (例如,一台設為 100%,另一台設為 125%) 。 當這種情況發生時,警告視窗可能會顯示重疊的文字或部分隱藏的按鈕,這會讓訊息難以閱讀或互動。
解決方式
此問題在 2026 年 5 月 12 日及之後發布的 Windows 更新中已解決, (如 KB5087544) 。 我們建議您為裝置安裝最新的 Windows Update,因為它包含重要的改良功能和問題解決方式,包括此更新。
適用於: Windows 10 企業版 LTSC 2021 與 Windows 10 IoT 企業版 LTSC 2021
重要: 使用 EKB KB5003791 更新到 Windows 10,支援版本為 21H2。
本次安全更新包含以下更新中的修正與品質改進:
以下是安裝此更新後所解決的問題摘要。 如果有新功能,也會列出來。 括號內的粗體字表示我們正在記錄的變更項目或區域。
-
[登入] 已修正:在 2026 年 3 月 10 日或之後安裝 Windows 更新後,部分使用者可能會遇到使用 Microsoft 帳號登入應用程式時的問題。 即使裝置有正常的網路連線,登入時仍會出現「無網路」錯誤,阻止存取 Microsoft 服務和應用程式,例如 Microsoft Teams。
-
[授權] 改進:此更新解決了影響 Long-Term Servicing Channel (LTSC) ) DISM (Deployment Image Servicing and Management 建立映像的問題。 由於授權執行受限,DISM離線作業無法套用安全更新。 現在,你可以在離線建立 LTSC 映像時,使用 DISM 來新增安全套件。
-
Windows 10 IoT 企業版 LTSC 2021
-
Windows 10 企業版 G SKU
-
Windows 10 企業版 N LTSC
-
-
[遠端桌面] 此更新強化了對利用遠端桌面 (.rdp) 檔案的釣魚攻擊的防護。 當你打開 .rdp 檔案時,遠端桌面會在連接前顯示所有要求的連線設定,且預設每個設定都關閉。 首次在裝置上開啟 .rdp 檔案時,也會顯示一次性安全警告。 欲了解更多資訊,請參閱 「在 RDP) 檔案中開啟遠端桌面時 (安全警告。
-
[安全啟動]
-
此更新可於Windows 安全性應用程式 (設定中動態回報安全開機狀態 > & 安全 > Windows 安全性) 。 透過徽章與通知了解更多狀態提醒資訊。 請注意,這些增強功能在商業裝置和伺服器上預設是被關閉的。
-
此更新修正了裝置在安全開機更新後可能進入 BitLocker 復原的問題。
-
透過此更新,Windows 品質更新包含更多高信心度裝置目標資料,擴大有資格自動獲得新安全開機憑證的裝置覆蓋範圍。 裝置只有在展現足夠成功的更新訊號並維持受控且分階段的部署後,才會收到新憑證。
-
-
[易受影響的驅動者封鎖名單] 此更新引入了一項安全強化變更,將已知有漏洞的核心驅動程式加入 Microsoft 有漏洞驅動程式的封鎖清單。 依賴被封鎖驅動程式的備份應用程式,在嘗試掛載或管理磁碟映像時可能會失敗。
這些依賴被封鎖驅動程式的應用程式可能會顯示錯誤訊息,包括「備份失敗,因為 VSS 在快照建立時逾時」Microsoft VSS_E_BAD_STATE。 受影響的使用者應更新至使用包含必要防護的新驅動程式版本。 更多資訊請參閱 2026 年 4 月的 Windows 安全更新,對已知有漏洞的核心驅動程式引入保護措施。
如果你安裝了較早的更新,只有這個套件中包含的新更新會被下載並安裝到你的裝置上。
欲了解更多安全漏洞資訊,請參閱新版安全更新指南網站及2026年4月安全匯報。
關於 Windows 更新術語的資訊,請參閱關於 Windows 更新類型 及 每月品質更新類型的文章。 關於 Windows 10 版本 22H2 的概述,請參閱其更新歷史頁面。
注意事項 請追蹤 @WindowsUpdate 以了解新內容何時發佈到 Windows 發布健康控制台。
此更新中的已知問題
-
若裝置設定不推薦 BitLocker 群組原則,可能需要輸入其 BitLocker 恢復金鑰
症狀
部分裝置若設定了不建議的 BitLocker 群組原則,可能需要在安裝此更新後首次重新啟動時輸入 BitLocker 修復金鑰。
此問題僅影響符合以下所有條件的少數系統。 這些條件不太可能出現在非 IT 部門管理的個人裝置上。
-
BitLocker 不是在這個作業系統磁碟機上啟用。
-
群組原則「為原生 UEFI 韌體組態設定 TPM 平台驗證設定檔」已設定,且驗證設定檔中包含 PCR7 (或手動設定了等效的登錄機碼)。
-
系統資訊 (msinfo32.exe) 報告安全開機狀態 PCR7 綁定為「不可能」。
-
Windows UEFI CA 2023 憑證存在於裝置的安全開機簽章資料庫 (DB) 中,使該裝置有資格將 2023 年簽署的 Windows 開機管理程式設為預設。
-
裝置尚未執行 2023 年簽署的 Windows 開機管理程式。
在此案例中,只要群組原則設定保持不變,BitLocker 修復金鑰只需要輸入一次 -- 後續重新啟動不會觸發 BitLocker 修復畫面。 如需尋找 BitLocker 修復金鑰的說明,請參閱此文章: 尋找您的 BitLocker 修復金鑰。
建議企業在安裝此更新前,審核其 BitLocker 群組原則是否明確包含 PCR7,並使用 msinfo32.exe 檢查 PCR7 綁定狀態。
解決方式
我們正在研究解決方案,並將於其可供使用時,提供詳細資訊。
為暫時解決此問題,建議在安裝更新前移除群組原則設定。
-
請開啟群組原則編輯器 (gpedit.msc) 或群組原則管理主控台。
-
請導覽至: 電腦設定 > 管理範本 > Windows 元件 > BitLocker 磁碟機加密 > 作業系統磁碟機。
-
將「為原生 UEFI 韌體組態設定 TPM 平台驗證設定檔」設為「未設定」。
-
請在受影響的裝置上執行以下指令以套用原則變更: gpupdate /force
-
請執行以下指令以暫停 BitLocker (當 BitLocker 在 C: 磁碟機啟用時): manage-bde -protectors -disable C:
-
請執行以下指令以恢復 BitLocker (當 BitLocker 在 C: 磁碟機啟用時): manage-bde -protectors -enable C:
-
此更新會將 BitLocker 綁定改為使用 Windows 選擇的預設 PCR 設定檔。
-
-
遠端桌面安全警告可能無法正確 顯示症狀
安裝此更新後,開啟遠端桌面 (RDP) 檔案時出現的安全警告,在某些情況下可能無法正確顯示。
這個問題可能發生在你使用多台螢幕,顯示縮放設定不同的 (例如,一台設為 100%,另一台設為 125%) 。 當這種情況發生時,警告視窗可能會顯示重疊的文字或部分隱藏的按鈕,這會讓訊息難以閱讀或互動。
解決方式
此問題在 2026 年 5 月 12 日及之後發布的 Windows 更新中已解決, (如 KB5087544) 。 我們建議您為裝置安裝最新的 Windows Update,因為它包含重要的改良功能和問題解決方式,包括此更新。
Windows 10 服務堆疊更新 (KB5084130) - 版本 19041.7183
Microsoft現在結合了作業系統最新的服務堆疊更新 (SSU) 與最新的累積更新 (LCU) 。 SSU 提升更新過程的可靠性,並修正服務堆疊(安裝 Windows 更新的元件)。
附註: 此服務堆疊更新 (SSU) 包含強化邏輯,以驗證裝置是否託管於 Azure,並利用更新的憑證鏈進行驗證。 為確保裝置能存取必要的憑證更新網域以成功下載與安裝憑證更新,請參閱憑證下載與撤銷清單及 Azure 憑證授權機構詳細資料。 欲了解更多關於 SSU 的資訊,請參閱 服務堆疊更新。
如何取得此更新
安裝此更新前
重要 你必須安裝最新的Windows 10維修堆疊更新 (SSU) 。 在套用 Windows 更新前不安裝最新的 SSU,可能會導致該 Windows 更新直到安裝完成後才會提供。
根據您的安裝情境,請選擇以下之一:
安裝此更新
安裝此更新請使用以下 Windows 與 Microsoft 發布管道之一。
|
可供使用 |
後續步驟 |
|
|
此更新將從 Windows Update 自動下載並安裝。 |
|
可以使用 |
後續步驟 |
|
|
此更新將依照已設定的政策,從 Windows Update for Business 自動下載並安裝。 |
|
可供使用 |
後續步驟 |
|
|
要取得本次更新的獨立套件,請前往 Microsoft Update 目錄 網站。 關於如何從更新目錄下載及安裝更新的資訊,請參閱「如何從 Windows Update 目錄下載包含驅動程式與熱修正的更新」。 |
|
可供使用 |
後續步驟 |
|
|
若您設定產品與分類如下,此更新將自動Windows Server Update Services (與 WSUS) 同步:
若要依產品與分類設定 WSUS 伺服器同步,請參閱「 依產品與分類同步更新」。 若要手動將更新匯入 WSUS,請參見 「使用 PowerShell 將更新匯入 WSUS」。 |
檔案詳細資訊
本次更新中包含的檔案清單以 CSV 格式提供,包含逗號 (分隔的) (*.csv) 檔案。 該檔案可在文字編輯器如記事本或 Microsoft Excel 中開啟。
附註: 英文 (美國) 版本的軟體更新可能包含其他語言的檔案。
![[下載] 圖示](/images/zh-tw/dcac5586-5e57-4421-a25c-6f560016c041?format=avif&w=800)
相關資訊
如果你想移除這個更新
警告 在您決定移除此更新之前,請參閱 「了解風險:為何不應解除安裝安全更新」。
安裝合併的 SSU 與 LCU 套件後移除 LCU,請使用 DISM/Remove-Package 命令列選項,並以 LCU 套件名稱作為參數。 你可以用這個指令找到套件名稱: DISM /online /get-packages。
如果在合併套件上Windows Update (wusa.exe) 搭配 /uninstall 開關執行獨立安裝程式,因為合併套件內包含 SSU,無法運作。 安裝後無法移除 SSU。
關於 Microsoft Store 應用程式更新的通知
Windows 更新不會安裝 Microsoft Store 應用程式更新。 如果你是企業用戶,請參閱 Microsoft Store 應用程式 - Configuration Manager。 如果你是消費者用戶,請參閱 Microsoft Store 中「獲取應用程式與遊戲更新」。
結束支援資訊
針對 Windows 10 版本 21H2/22H2 與 Windows 10 企業版 LTSC 2021 的終止支援
下列截止日期起,Microsoft 將不再提供 Windows Update、技術協助或安全性問題修正的免費軟體更新:
♦ Windows 10,版本 21H2: 支援已於 2023 年 6 月 13 日結束
♦ Windows 10,版本 22H2: 支援已於 2025 年 10 月 14 日結束
♦ Windows 10 企業版 LTSC 2021: 2027 年 1 月 12 日
♦ Windows 10 IoT 企業版 LTSC 2021: 2032 年 1 月 13 日
附註: 若要繼續接收 Windows 10 的關鍵及重要安全性更新,請參閱Windows 10 延伸安全性更新 (ESU)。 否則,我們建議您升級至較新版本的 Windows。
變更記錄
|
變更日期 |
變更描述 |
|
2026年5月12日 |
|
|
2026年5月1日 |
|
|
2026年4月23日 |
|
|
2026年4月21日 |
|
|
2026 年 4 月 14 日 |
|
Need more help?
Want more options?
探索訂閱權益、瀏覽訓練課程、瞭解如何保護您的裝置等等。
社群可協助您詢問並回答問題、提供意見反應,以及聆聽來自具有豐富知識的專家意見。
