這次Windows 11的累積更新版本為 23H2 (KB5087420) ,包含最新的安全修補與改進,以及上個月可選預覽版的非安全更新。 若想了解更多安全更新、可選非安全預覽更新、帶外 (OOB) 更新,以及持續創新的差異,請參閱 Windows 每月更新說明。 關於 Windows 更新術語的資訊,請參閱不同類型的 Windows 軟體更新。
欲查看本版本的最新更新,請造訪 Windows 版本健康儀表板或 Windows 11 版本 23H2 的更新歷史頁面。
|
小提示:本月的影片可在 Windows 11 版本 25H2 與 24H2 文章中取得。 |
公告與訊息
本區提供與本版本相關的重要通知,包括公告、變更日誌及支援終止通知。
Windows 安全開機憑證到期
重要: 大部分 Windows 裝置使用的安全開機憑證設定為從 2026 年 6 月開始到期。 如果未及時更新,這可能會影響某些個人和商務裝置安全開機的能力。 為避免中斷,建議您檢閱指導方針,並採取行動事先更新憑證。 如需詳細資料和準備步驟,請參閱 Windows 安全開機憑證到期和 CA 更新。
改善
此更新解決了您 Windows 作業系統的安全問題。
重要: 使用 EKB KB5027397 更新到 Windows 11,版本 23H2。
本次安全更新包含了自 2026 年 4 月 14 日) (KB5082052的修正與品質改進。 以下摘要概述本次更新所涵蓋的關鍵議題。 此外,還包含可用的新功能。 括號內的粗體字表示變更的項目或區域。
-
[安全啟動] 透過此更新,Windows 品質更新包含更多高信心度裝置目標資料,擴大有資格自動獲得新安全開機憑證的裝置覆蓋範圍。 裝置只有在展現足夠成功的更新訊號並維持受控且分階段的部署後,才會收到新憑證。
-
[國家與操作員設定資產 (COSA) ]此更新更新部分行動業者的個人資料更新。
-
[夏令時間 (夏令時間) ] 此更新支援阿拉伯埃及共和國2023年夏令時間的變更。
-
[企業號狀態漫遊 (ESR) ] ESR 現在可以透過 Windows 備份組織政策來管理。 這讓 IT 管理員的設定更簡單。 欲了解更多,請參閱企業州漫遊。
-
[Microsoft Defender 智慧螢幕] 此更新使 Windows 殼層中的 Microsoft Defender SmartScreen 能傳送未簽署檔案的雜湊值。 此支援讓 SmartScreen 能使用更新的聲譽模型,並提升應用程式聲譽檢查的品質。
-
遠端桌面 (已知問題) ] 已修正:此更新解決了影響遠端桌面連線安全警告對話框的問題。 當多螢幕設定不同時,對話可能會錯誤呈現。 這可能發生在安裝 2026 年 4 月的 (KB5082052) 安全更新後。 欲了解更多資訊,請參閱「在 RDP) 檔案中開啟遠端桌面時 (安全警告。
如果你已經安裝了先前的更新,裝置只會下載並安裝這個套件中包含的新更新。
欲了解更多安全漏洞資訊,請參閱安全更新指南及 2026年5月安全更新。
Windows 11 服務堆疊更新 (KB5086307) - 22621.6937
此更新會對服務堆疊 (其為安裝 Windows 更新的元件) 進行品質改良。 服務堆疊更新 (SSU) 可確保您擁有穩健、可靠的服務堆疊,讓您的裝置可以收到並安裝 Microsoft 更新。 欲了解更多關於 SSU 的資訊,請參閱 簡化本地部署的服務堆疊更新。
本次更新中已知的問題
問題
部分裝置若設定了不建議的 BitLocker 群組原則,可能需要在安裝此更新後首次重新啟動時輸入 BitLocker 修復金鑰。
此問題僅影響少數符合以下所有條件的系統。 這些條件不太可能出現在非 IT 部門管理的個人裝置上。
-
BitLocker 不是在這個作業系統磁碟機上啟用。
-
群組原則「為原生 UEFI 韌體組態設定 TPM 平台驗證設定檔」已設定,且驗證設定檔中包含 PCR7 (或手動設定了等效的登錄機碼)。
-
系統資訊 (msinfo32.exe) 報告安全開機狀態 PCR7 綁定為「不可能」。
-
Windows UEFI CA 2023 憑證存在於裝置的安全開機簽章資料庫 (DB) 中,使該裝置有資格將 2023 年簽署的 Windows 開機管理程式設為預設。
-
裝置尚未執行 2023 年簽署的 Windows 開機管理程式。
在此案例中,只要群組原則設定保持不變,BitLocker 修復金鑰只需要輸入一次 -- 後續重新啟動不會觸發 BitLocker 修復畫面。 如需協助尋找你的 BitLocker 恢復金鑰,請參閱文章《尋找你的 BitLocker 恢復金鑰》。
建議企業在安裝此更新前,審核其 BitLocker 群組原則是否明確包含 PCR7,並使用 msinfo32.exe 檢查 PCR7 綁定狀態。 (請參考下方的解決方法 )
因應措施
安裝更新前請移除群組原則設定 (建議)
-
請開啟群組原則編輯器 (gpedit.msc) 或群組原則管理主控台。
-
請導覽至: 電腦設定 > 管理範本 > Windows 元件 > BitLocker 磁碟機加密 > 作業系統磁碟機。
-
將「為原生 UEFI 韌體組態設定 TPM 平台驗證設定檔」設為「未設定」。
-
請在受影響的裝置上執行以下指令以套用原則變更: gpupdate /force
-
請執行以下指令以暫停 BitLocker (當 BitLocker 在 C: 磁碟機啟用時): manage-bde -protectors -disable C:
-
請執行以下指令以恢復 BitLocker (當 BitLocker 在 C: 磁碟機啟用時): manage-bde -protectors -enable C:
-
此更新會將 BitLocker 綁定改為使用 Windows 選擇的預設 PCR 設定檔。
這個問題預計會在未來的 Windows 更新中永久解決。 更多資訊將在有時提供。
如何取得此更新
安裝此更新前
Microsoft結合了作業系統最新的服務堆疊更新 (SSU) 與LCU) (累積更新。 關於 SSU 的一般資訊,請參見 服務堆疊更新。
安裝此更新
安裝此更新請使用以下 Windows 與 Microsoft 發布管道之一。
|
可供使用 |
後續步驟 |
|
|
此更新會自動從 Windows Update 和 Microsoft Update 下載並安裝。 |
|
可以使用 |
後續步驟 |
|
|
此更新會依照設定的政策自動從 Windows Update for Business 下載並安裝。 |
|
可以使用 |
後續步驟 |
|
|
要取得此更新的獨立套件,請前往 Microsoft Update 目錄。 |
|
可供使用 |
後續步驟 |
|
|
若您設定產品與分類如下Windows Server Update Services (,此更新會自動與 WSUS) 同步: 產品:Windows 11 分類:安全性更新 |
如果你想移除這個更新
在你決定移除此更新之前,請參閱 「了解風險:為什麼你不應該解除安裝安全更新」。
安裝合併的 SSU 與 LCU 套件後移除 LCU,請使用 DISM/Remove-Package 命令列選項,並以 LCU 套件名稱作為參數。 你可以用這個指令找到套件名稱: DISM /online /get-packages。
如果在合併套件上Windows Update (wusa.exe) 搭配 /uninstall 開關執行獨立安裝程式,因為合併套件內包含 SSU,無法運作。 安裝後無法移除 SSU。
檔案詳細資訊
如需本次更新所提供的檔案清單,請 下載累積更新5087420的檔案資訊。
如需服務堆疊更新中提供的檔案清單,請 下載 SSU (KB5086307) - 版本 22621.6937 的檔案資訊。
