2026 年 5 月 12 日—KB5087544 (OS 版本 19045.7291 與 19044.7291)

Windows 安全開機憑證到期

重要： 大部分 Windows 裝置使用的安全開機憑證設定為從 2026 年 6 月開始到期。如果未及時更新，這可能會影響某些個人和商務裝置安全開機的能力。為避免中斷，建議您檢閱指導方針，並採取行動事先更新憑證。

如需 Windows 裝置的詳細資料和準備步驟，請參閱 Windows 安全開機憑證到期和 CA 更新

如需 Windows 伺服器的詳細資料與準備步驟，請參閱以下資源：

摘要

本文列出本次累積安全更新中包含的安全議題與品質改進。

適用於： Windows 10 ESU

重要: 使用 EKB KB5015684 更新到 Windows 10，版本 22H2。

本次安全更新包含以下更新中的修正與品質改進：

2026年4月14日—KB5082200 (作業系統版本19045.7184與19044.7184)

以下是安裝此更新後所解決的問題摘要。如果有新功能，也會列出來。括號內的粗體字表示我們正在記錄的變更項目或區域。

[遠端桌面安全警告 (已知問題) ] 已修正：遠端桌面連線安全警告對話框在多螢幕配置下，顯示縮放不同時可能會錯誤呈現。此問題可能發生在安裝 2026 年 4 月 14 日發布的 Windows 安全更新後， (KB5082200) 。
[安全啟動]
- 此更新啟用了 Windows 安全性應用程式中安全開機狀態的動態狀態報告。
- 透過此更新，Windows 品質更新包含更多高信心度裝置目標資料，擴大有資格自動獲得新安全開機憑證的裝置覆蓋範圍。裝置只有在展現足夠成功的更新訊號並維持受控且分階段的部署後，才會收到新憑證。
[夏令時間] 阿拉伯共和國埃及為支持2023年夏令時間政府變更令而更新。

如果你安裝了較早的更新，只有這個套件中包含的新更新會被下載並安裝到你的裝置上。

欲了解更多安全漏洞資訊，請參閱新版安全更新指南網站及2026年5月安全匯報。

關於 Windows 更新術語的資訊，請參閱關於 Windows 更新類型及每月品質更新類型的文章。關於 Windows 10 版本 22H2 的概述，請參閱其更新歷史頁面。

此更新中的已知問題

若裝置設定不推薦 BitLocker 群組原則，可能需要輸入其 BitLocker 恢復金鑰 症狀

部分裝置若設定了不建議的 BitLocker 群組原則，可能需要在安裝此更新後首次重新啟動時輸入 BitLocker 修復金鑰。

此問題僅影響符合以下所有條件的少數系統。這些條件不太可能出現在非 IT 部門管理的個人裝置上。
1. BitLocker 不是在這個作業系統磁碟機上啟用。
2. 群組原則「為原生 UEFI 韌體組態設定 TPM 平台驗證設定檔」已設定，且驗證設定檔中包含 PCR7 (或手動設定了等效的登錄機碼)。
3. 系統資訊 (msinfo32.exe) 報告安全開機狀態 PCR7 綁定為「不可能」。
4. Windows UEFI CA 2023 憑證存在於裝置的安全開機簽章資料庫 (DB) 中，使該裝置有資格將 2023 年簽署的 Windows 開機管理程式設為預設。
5. 裝置尚未執行 2023 年簽署的 Windows 開機管理程式。
在此案例中，只要群組原則設定保持不變，BitLocker 修復金鑰只需要輸入一次 -- 後續重新啟動不會觸發 BitLocker 修復畫面。如需尋找 BitLocker 修復金鑰的說明，請參閱此文章: 尋找您的 BitLocker 修復金鑰。

建議企業在安裝此更新前，審核其 BitLocker 群組原則是否明確包含 PCR7，並使用 msinfo32.exe 檢查 PCR7 綁定狀態。

解決方式

我們正在研究解決方案，並將於其可供使用時，提供詳細資訊。

為暫時解決此問題，建議在安裝更新前移除群組原則設定。
1. 請開啟群組原則編輯器 (gpedit.msc) 或群組原則管理主控台。
2. 請導覽至: 電腦設定 > 管理範本 > Windows 元件 > BitLocker 磁碟機加密 > 作業系統磁碟機。
3. 將「為原生 UEFI 韌體組態設定 TPM 平台驗證設定檔」設為「未設定」。
4. 請在受影響的裝置上執行以下指令以套用原則變更: gpupdate /force
5. 請執行以下指令以暫停 BitLocker (當 BitLocker 在 C: 磁碟機啟用時): manage-bde -protectors -disable C:
6. 請執行以下指令以恢復 BitLocker (當 BitLocker 在 C: 磁碟機啟用時): manage-bde -protectors -enable C:
7. 此更新會將 BitLocker 綁定改為使用 Windows 選擇的預設 PCR 設定檔。

Windows 10 服務堆疊更新 (KB5084130) - 版本 19041.7183

Microsoft現在結合了作業系統最新的服務堆疊更新 (SSU) 與最新的累積更新 (LCU) 。 SSU 提升更新過程的可靠性，並修正服務堆疊（安裝 Windows 更新的元件）。

附註： 此服務堆疊更新 (SSU) 包含強化邏輯，以驗證裝置是否託管於 Azure，並利用更新的憑證鏈進行驗證。為確保裝置能存取必要的憑證更新網域以成功下載與安裝憑證更新，請參閱憑證下載與撤銷清單及 Azure 憑證授權機構詳細資料。欲了解更多關於 SSU 的資訊，請參閱服務堆疊更新。

如何取得此更新

安裝此更新前

重要你必須安裝最新的維修堆疊更新 (SSU) 。在套用 Windows 更新前不安裝最新的 SSU，可能會導致該 Windows 更新直到安裝完成後才會提供。

部署

若您部署此更新，請根據您的安裝情境選擇以下之一：

離線作業系統映像服務

如果您的映像檔沒有 2023 年 7 月 25 日 (KB5028244) 或更晚的 LCU，您必須先安裝 2023 年 10 月 13 日的特殊獨立 SSU (KB5031539) ，然後安裝此更新。

對於Windows Server Update Services (WSUS) 部署或安裝 Update Catalog 的獨立套件Microsoft

如果您的裝置沒有 2021 年 5 月 11 日 (KB5003173) 或更晚的 LCU， 您必須 先安裝 2021 年 8 月 10 日的特殊獨立 SSU (KB5005260) ，然後才能安裝此更新。

取得並安裝此更新

要取得並安裝此更新，請使用以下 Windows 與 Microsoft 發布的管道之一。

可供使用	後續步驟
	此更新將從 Windows Update 自動下載並安裝。

檔案詳細資訊

本次更新中包含的檔案清單以 CSV 格式提供，包含逗號 (分隔的) (*.csv) 檔案。該檔案可在文字編輯器如記事本或 Microsoft Excel 中開啟。

附註： 英文 (美國) 版本的軟體更新可能包含其他語言的檔案。

[下載] 圖示下載本次累積更新的檔案資訊KB5087544。

[下載] 圖示下載 SSU (KB5084130) - 版本 19041.7183 的檔案資訊。

2026 年 5 月 12 日—KB5087544 (OS 版本 19045.7291 與 19044.7291)