這次 202 (KB5091157) 5 Windows Server (帶外) 更新是非安全累積更新。
改善
這次頻外更新包含了自 2026 年 4 月 14 日) (KB5082063 品質提升。 以下摘要概述本次頻外更新所涵蓋的關鍵議題。 括號內的粗體字表示變更的項目或區域。
-
[網域控制器 (已知問題) ] 已修復:安裝 2026 年 4 月 14 日的 Windows 安全更新 (KB5082063) 並重新啟動後,使用特 權存取管理 (PAM)的多域森林網域控制器可能會遇到啟動問題。 在某些情況下,LSASS (地方安全管理機構子系統服務) 可能停止回應,導致多次重啟,並導致認證與目錄服務無法使用,進而使網域無法使用。
-
[Windows 更新安裝] 已修復:少數 2025 Windows Server裝置可能無法安裝 2026 年 4 月 14 日的 Windows 安全更新 (KB5082063)。 當此問題發生時,受影響的裝置可能會顯示以下錯誤訊息之一:「安裝錯誤:0x800F0983」或「部分更新檔案遺失或有問題。 我們稍後會嘗試再下載更新。 錯誤代碼:0x80073712。」
如果你安裝了較早的更新,裝置只會下載並安裝這個套件中包含的新更新。
附註 受KB5082063安裝問題影響的 2025 年熱補丁更新註冊裝置Windows Server可安裝此 OOB 更新以享有相同保護。 不過,這樣做需要重新啟動,熱補丁更新要等到 2026 年 7 月的基準更新才會恢復。
Windows Sever 2025 服務堆疊更新 (KB5082062) -26100.32692
此更新會對服務堆疊 (其為安裝 Windows 更新的元件) 進行品質改良。 服務堆疊更新 (SSU) 可確保您擁有穩健、可靠的服務堆疊,讓您的裝置可以收到並安裝 Microsoft 更新。 欲了解更多關於 SSU 的資訊,請參閱 簡化本地部署的服務堆疊更新。
此更新中的已知問題
問題
部分裝置設定不推薦的 BitLocker 群組原則,可能需要在安裝此更新後首次重啟時輸入 BitLocker 恢復金鑰。
此問題僅影響少數符合以下所有條件的系統。 這些狀況不太可能出現在非 IT 部門管理的個人裝置上。
-
作業系統磁碟機已啟用 BitLocker。
-
群組原則「為原生 UEFI 韌體配置配置 TPM 平台驗證設定檔」已設定,且 PCR7 包含在驗證設定檔中, (或手動設定等效登錄檔金鑰) 。
-
系統資訊 (msinfo32.exe) 報告安全開機狀態 PCR7 綁定為「不可能」。
-
Windows UEFI CA 2023 憑證存在於裝置的安全開機簽章資料庫 (資料庫) ,使該裝置有資格將 2023 年簽署的 Windows 開機管理器設為預設。
-
裝置尚未執行 2023 簽署的 Windows 開機管理器。
在這種情況下,BitLocker 恢復金鑰只需輸入一次——只要群組政策設定不變,之後的重啟不會觸發 BitLocker 恢復畫面。 如需協助尋找你的 BitLocker 恢復金鑰,請參閱文章《尋找你的 BitLocker 恢復金鑰》。
建議企業在安裝此更新前,審核其 BitLocker 群組政策是否明確包含 PCR7,並 msinfo32.exe 確認其 PCR7 綁定狀態。 (請見下方選項一 )
因應措施
選項一:安裝更新前先移除群組原則設定 (推薦)
-
打開 群組原則 編輯器 (gpedit.msc) 或你的 群組原則 管理主控台。
-
導航至: 電腦設定 > 管理範本 > Windows元件 > BitLocker磁碟機加密 > 作業系統磁碟機。
-
將「為原生 UEFI 韌體設定配置設定 TPM 平台驗證設定檔」設為「未設定」。
-
在受影響的裝置上執行以下指令以傳播政策變更: gpupdate /force
-
執行以下指令以暫停 BitLocker, (在 C: 磁碟機啟用) : manage-bde -protectors -disable C:
-
執行以下指令以恢復 BitLocker (在 C: 磁碟) 啟用 BitLocker 時: manage-bde -protectors -enable C:
-
此功能更新 BitLocker 綁定,使其使用 Windows 選擇的預設 PCR 設定檔。
選項二:在安裝更新前,先對 KIR) (套用已知問題回滾
對於無法在部署此更新前移除 PCR7 群組政策的客戶,可以使用 已知問題回滾功能 (KIR) 。 KIR 會阻止自動切換到 2023 開機管理器,避免 BitLocker 的復原觸發。 KIR 應該在受影響裝置安裝更新前部署。 請聯絡 Microsoft 的商業支援 以取得此 KIR。
這個問題預計會在未來的 Windows 更新中永久解決。 更多資訊將在有時提供。
安裝 KB5070881 或更新版本的更新之後,Windows Server Update Services (WSUS) 不會在其錯誤報告中顯示同步處理錯誤詳細資料。 此功能已暫時移除,以解決遠端程式碼執行弱點 CVE-2025-59287。
如何取得此更新
安裝此更新前
Microsoft現在結合了作業系統最新的服務堆疊更新 (SSU) 與最新的累積更新 (LCU) 。 關於 SSU 的一般資訊,請參見 服務堆疊更新。
安裝此更新
安裝此更新請使用以下 Windows 與 Microsoft 發布管道之一。
|
可供使用 |
後續步驟 |
|
|
請參閱其他選項。 |
|
可以使用 |
後續步驟 |
|
|
請參閱其他選項。 |
|
可以使用 |
後續步驟 |
|||||
|
|
要從 Microsoft Update 目錄安裝此版本,請依照以下指示操作: 在安裝此更新之前, () 的獨立套件,請前往 Microsoft 更新目錄網站。 此 KB 包含一個或多個需要特定順序安裝的 MSU 檔案。 你可以用方法1安裝此更新 (將所有MSU檔案一起安裝) 或方法2 (依序安裝每個MSU檔案,依序) 安裝。 方法一:將所有 MSU 檔案一起安裝 從 Update Catalog 下載所有 MSU 檔案Microsoft KB5091157並將它們放到同一個資料夾 (例如 C:/Packages) 。 使用 Deployment Image Servicing and Management (DISM.exe) 安裝目標更新。 DISM 會依需求使用 PackagePath 指定的資料夾來發現並安裝一個或多個先決的 MSU 檔案。 更新 Windows 電腦 要將此更新套用於正在運行的 Windows 電腦,請從提升的命令提示字元執行以下指令:
或者,從提升的 Windows PowerShell 提示字元執行以下指令:
或者用 Windows Update 獨立安裝程式來安裝目標更新。 更新 Windows 安裝媒體 若要將此更新套用到 Windows 安裝媒體,請參見「使用動態更新更新 Windows 安裝媒體」。 附註: 下載其他動態更新套件時,請確保它們與此知識庫同一個月。 如果 SafeOS 動態更新或設定動態更新與本知識庫同月無法取得,請使用最新版本。 要將此更新加入已掛載映像檔,請從升格命令提示字元執行以下指令:
或者,從提升的 Windows PowerShell 提示字元執行以下指令:
方法二:依序安裝每個 MSU 檔案 請依以下順序分別使用 DISM 或 Windows Update Standalone Installer 下載並安裝每個 MSU 檔案:
|
|
可供使用 |
後續步驟 |
|
|
請參閱其他選項。 |
如果你想移除這個更新
注意:在您決定移除此更新之前,請參閱 「了解風險:為何不應移除安全更新」。
安裝合併的 SSU 與 LCU 套件後移除此更新,請使用 DISM/Remove-Package 命令列選項,並以 LCU 套件名稱作為參數。 你可以用這個指令找到套件名稱: DISM /online /get-packages。
如果在合併套件上Windows Update (wusa.exe) 搭配 /uninstall 開關執行獨立安裝程式,因為合併套件內包含 SSU,無法運作。 安裝後無法移除 SSU。
檔案資訊
如需本次更新所提供的檔案清單,請下載 頻帶外更新5091157的檔案資訊。
如需服務堆疊更新中提供的檔案清單,請下載 SSU (KB5082062) - 版本 26100.32692 的檔案資訊。
