套用到
Windows Server 2022

發行日期:

2026/5/12

版本:

作業系統建檔 20348.5139

這次 2022 (KB5087545) Windows Server累積更新包含了最新的安全修補與改進,以及上個月可選預覽版的非安全更新。 若想了解更多安全更新、可選非安全預覽更新、帶外 (OOB) 更新,以及持續創新的差異,請參閱 Windows 每月更新說明。 關於 Windows 更新術語的資訊,請參閱不同類型的 Windows 軟體更新。 

欲查看本版本的最新更新,請造訪 Windows 版本健康儀表板Windows Server 2022 的更新歷史頁面。

公告與訊息

本區提供與本版本相關的重要通知,包括公告、變更日誌及支援終止通知。 

Windows 安全開機憑證到期

重要: 大部分 Windows 裝置使用的安全開機憑證設定為從 2026 年 6 月開始到期。 如果未及時更新,這可能會影響某些個人和商務裝置安全開機的能力。 為避免中斷,建議您檢閱指導方針,並採取行動事先更新憑證。 如需詳細資料和準備步驟,請參閱 Windows 安全開機憑證到期和 CA 更新

變更日期

變更描述

2026年5月13日

新增安全開機發布通知:此更新在符合資格的裝置上新增 C:\WindowsSecureBoot 資料夾。

改善

本次安全更新包含了自 2026 年 4 月 14 日) 釋出的 (KB5082142 及 2026 年 4 月 19 日) 釋出的 KB5091575 (的修正與品質提升。 以下摘要概述本次更新所涵蓋的關鍵議題。 此外,還包含可用的新功能。 括號內的粗體字表示變更的項目或區域。

  • [安全啟動] 

    • 透過此更新,Windows 品質更新包含更多高信心度裝置目標資料,擴大有資格自動獲得新安全開機憑證的裝置覆蓋範圍。 裝置只有在展現足夠成功的更新訊號並維持受控且分階段的部署後,才會收到新憑證。

    • 此更新在符合資格的裝置上新增 C:\Windows 資料夾。 該資料夾包含範例腳本,專為擁有 IT 專業人員、積極管理整個裝置群更新的組織設計。 這些腳本可用於偵測安全開機憑證更新狀態,並透過安全部署機制在 Active Directory 環境中自動部署。 更多資訊請參閱 《安全開機端對端自動化範例指南》。

  • [應用程式] 此更新提升了應用程式與系統元件所使用的計算準確度與可靠性。 使用者和開發者應該能看到更一致的結果,尤其是在處理非常小的數值時。

  • [夏令時間 (夏令時間) ] 此更新支援阿拉伯埃及共和國2023年夏令時間的變更。

  • [桌面] 此更新改善了 Windows Server 介面在日常使用中的反應。 使用者應該會注意到互動更順暢,視窗停止回應的情況也更少。

  • [登入] 在 2026 年 3 月 10 日或之後安裝 Windows 更新後,部分使用者可能會遇到使用 Microsoft 帳號登入應用程式時的問題。 即使裝置有正常的網路連線,登入時仍會出現「無網路」錯誤,阻止存取 Microsoft 服務和應用程式,例如 Microsoft Teams。

  • [遠端桌面 (已知問題) ] 已修正:此更新解決了影響遠端桌面連線安全警告對話框的問題。 當多螢幕設定不同時,對話可能會錯誤呈現。 這可能會在安裝 2026 年 4 月的 (KB5082142) 安全更新後發生。 欲了解更多資訊,請參閱「在 RDP) 檔案中開啟遠端桌面時 (安全警告

如果你已經安裝了先前的更新,裝置只會下載並安裝這個套件中包含的新更新。

欲了解更多安全漏洞資訊,請參閱安全更新指南2026年5月安全匯報

Windows Server 2022 年服務堆疊更新 (KB5089140) -20348.5120

此更新會對服務堆疊 (其為安裝 Windows 更新的元件) 進行品質改良。 服務堆疊更新 (SSU) 可確保您擁有穩健、可靠的服務堆疊,讓您的裝置可以收到並安裝 Microsoft 更新。 欲了解更多關於 SSU 的資訊,請參閱 簡化本地部署的服務堆疊更新

此更新中的已知問題

問題

部分裝置若設定了不建議的 BitLocker 群組原則,可能需要在安裝此更新後首次重新啟動時輸入 BitLocker 修復金鑰。

此問題僅影響少數符合以下所有條件的系統。 這些條件不太可能出現在非 IT 部門管理的個人裝置上。

  1. BitLocker 不是在這個作業系統磁碟機上啟用。

  2. 群組原則「為原生 UEFI 韌體組態設定 TPM 平台驗證設定檔」已設定,且驗證設定檔中包含 PCR7 (或手動設定了等效的登錄機碼)。

  3. 系統資訊 (msinfo32.exe) 報告安全開機狀態 PCR7 綁定為「不可能」。

  4. Windows UEFI CA 2023 憑證存在於裝置的安全開機簽章資料庫 (DB) 中,使該裝置有資格將 2023 年簽署的 Windows 開機管理程式設為預設。

  5. 裝置尚未執行 2023 年簽署的 Windows 開機管理程式。

在此案例中,只要群組原則設定保持不變,BitLocker 修復金鑰只需要輸入一次 -- 後續重新啟動不會觸發 BitLocker 修復畫面。 如需尋找 BitLocker 修復金鑰的說明,請參閱此文章: 尋找您的 BitLocker 修復金鑰。

建議企業在安裝此更新前,審核其 BitLocker 群組原則是否明確包含 PCR7,並使用 msinfo32.exe 檢查 PCR7 綁定狀態。 (請參考下方的解決方法 )

因應措施 

安裝更新前請移除群組原則設定 (建議)  

  1. 請開啟群組原則編輯器 (gpedit.msc) 或群組原則管理主控台。

  2. 瀏覽至:電腦設定 > 管理範本 > Windows 元件 > BitLocker 磁碟機加密 > 作業系統磁碟機。

  3. 將「為原生 UEFI 韌體組態設定 TPM 平台驗證設定檔」設為「未設定」。

  4. 請在受影響的裝置上執行以下指令以套用原則變更: gpupdate /force

  5. 請執行以下指令以暫停 BitLocker (當 BitLocker 在 C: 磁碟機啟用時): manage-bde -protectors -disable C: 

  6. 請執行以下指令以恢復 BitLocker (當 BitLocker 在 C: 磁碟機啟用時): manage-bde -protectors -enable C: 

  7. 此更新會將 BitLocker 綁定改為使用 Windows 選擇的預設 PCR 設定檔。

這個問題預計會在未來的 Windows 更新中永久解決。 更多資訊將在有時提供。

安裝 KB5070884 或更新版本的更新之後,Windows Server Update Services (WSUS) 不會在其錯誤報告中顯示同步處理錯誤詳細資料。 此功能已暫時移除,以解決遠端程式碼執行弱點 CVE-2025-59287。 

如何取得此更新

安裝此更新前

Microsoft現在結合了作業系統最新的服務堆疊更新 (SSU) 與最新的累積更新 (LCU) 。 關於 SSU 的一般資訊,請參見 服務堆疊更新

離線作業系統映像服務的前提條件:

請確保你的影像包含 KB5030216 202) 3/12/09/12 (或更晚的 LCU。 如果沒有,請先在離線媒體安裝,再安裝最新更新。 本LCU將SSU版本更新為20348.1960。 這是你必須擁有的最低 SSU 版本,才能防止錯誤0x800f0823 (CBS_E_NEW_SERVICING_STACK_REQUIRED) 。

安裝此更新

安裝此更新請使用以下 Windows 與 Microsoft 發布管道之一。

可供使用

後續步驟

包含

此更新會自動從 Windows Update 和 Microsoft Update 下載並安裝。

如果你想移除這個更新

注意: 在你決定移除此更新之前,請參閱 「了解風險:為什麼你不應該解除安裝安全更新」。

安裝合併的 SSU 與 LCU 套件後移除 LCU,請使用 DISM/Remove-Package 命令列選項,並以 LCU 套件名稱作為參數。 你可以用這個指令找到套件名稱: DISM /online /get-packages

如果在合併套件上Windows Update (wusa.exe) 搭配 /uninstall 開關執行獨立安裝程式,因為合併套件內包含 SSU,無法運作。 安裝後無法移除 SSU。

檔案資訊

如需本次更新所提供的檔案清單,請下載累積更新5087545 的檔案資訊。 

如需服務堆疊更新中提供的檔案清單,請 下載 SSU (KB5089140) - 版本 20348.5120 的檔案資訊。 

Facebook LinkedIn 電子郵件
訂閱 RSS 摘要

需要更多協助嗎?

想要其他選項嗎?

探索訂閱權益、瀏覽訓練課程、瞭解如何保護您的裝置等等。

Microsoft 365 訂閱權益

Microsoft 365 訓練

Microsoft 安全性

協助工具中心