2026 年 4 月 19 日 - KB5091157 (OS 建置版 26100.32698) 頻外

套用到
Windows Server 2025, all editions

這次 202 (KB5091157) 5 Windows Server (帶外) 更新是非安全累積更新。

改善

這次頻外更新包含了自 2026 年 4 月 14 日) (KB5082063 品質提升。 以下摘要概述本次頻外更新所涵蓋的關鍵議題。 括號內的粗體字表示變更的項目或區域。

  • [Active Directory] 已修復:安裝 2026 年 4 月的 Windows 安全更新並重新啟動後,網域控制器 (擁有多域森林、使用特 權存取管理 (PAM) 的) DC 可能會遇到啟動問題。 在某些情況下,LSASS (地方安全管理機構子系統服務) 可能停止回應,導致多次重啟,並導致認證與目錄服務無法使用,進而使網域無法使用。
  • [Windows 更新安裝]已修復:少數 2025 Windows Server裝置可能無法安裝 2026 年 4 月 14 日的 Windows 安全更新 (KB5082063) 。 當此問題發生時,受影響的裝置可能會顯示以下錯誤訊息之一:「安裝錯誤:0x800F0983」或「部分更新檔案遺失或有問題。 我們稍後會嘗試再下載更新。 錯誤代碼:0x80073712。」

如果你安裝了較早的更新,裝置只會下載並安裝這個套件中包含的新更新。

Windows Sever 2025 服務堆疊更新 (KB5082062) -26100.32692

此更新會對服務堆疊 (其為安裝 Windows 更新的元件) 進行品質改良。 服務堆疊更新 (SSU) 可確保您擁有穩健、可靠的服務堆疊,讓您的裝置可以收到並安裝 Microsoft 更新。 欲了解更多關於 SSU 的資訊,請參閱 簡化本地部署的服務堆疊更新

此更新中的已知問題

若裝置設定不推薦 BitLocker 群組原則,可能需要輸入其 BitLocker 恢復金鑰

徵兆

部分裝置若設定了不建議的 BitLocker 群組原則,可能需要在安裝此更新後首次重新啟動時輸入 BitLocker 修復金鑰。

此問題僅影響少數符合以下所有條件的系統。 這些條件不太可能出現在非 IT 部門管理的個人裝置上。

  1. BitLocker 不是在這個作業系統磁碟機上啟用。
  2. 群組原則「為原生 UEFI 韌體組態設定 TPM 平台驗證設定檔」已設定,且驗證設定檔中包含 PCR7 (或手動設定了等效的登錄機碼)。
  3. 系統資訊 (msinfo32.exe) 報告安全開機狀態 PCR7 綁定為「不可能」。
  4. Windows UEFI CA 2023 憑證存在於裝置的安全開機簽章資料庫 (DB) 中,使該裝置有資格將 2023 年簽署的 Windows 開機管理程式設為預設。
  5. 裝置尚未執行 2023 年簽署的 Windows 開機管理程式。

在此案例中,只要群組原則設定保持不變,BitLocker 修復金鑰只需要輸入一次 -- 後續重新啟動不會觸發 BitLocker 修復畫面。 如需協助尋找你的 BitLocker 恢復金鑰,請參閱文章《尋找你的 BitLocker 恢復金鑰》。

建議企業在安裝此更新前,審核其 BitLocker 群組原則是否明確包含 PCR7,並使用 msinfo32.exe 檢查 PCR7 綁定狀態。 (請見下方選項一 )

因應措施

這個問題在 KB5094125中都有說明。 安裝 KB5094125 後, 擁有此不相容群組政策設定的裝置將無法安裝 2023 簽署的 Windows 開機管理器。 如果您的裝置受到影響,安裝 Windows 更新時,系統事件日誌中會出現 事件 ID 1032 :「安全開機更新啟動管理器 (2023) 因與目前 BitLocker 設定不相容而未被套用。」

如果你收到事件 ID 1032,Microsoft 強烈建議在安裝更新前移除群組原則設定,這樣你才能安裝 2023 年簽署的 Windows 開機管理員,並繼續獲得最新的安全開機保護。

安裝更新前請移除群組原則設定 (建議)

  1. 請開啟群組原則編輯器 (gpedit.msc) 或群組原則管理主控台。
  2. 瀏覽至: 電腦設定 > 管理範本 > Windows 元件 > BitLocker 磁碟機 加密 > 作業系統磁碟機
  3. 將「為原生 UEFI 韌體組態設定 TPM 平台驗證設定檔」設為「未設定」。
  4. 請在受影響的裝置上執行以下指令以套用原則變更: gpupdate /force
  5. 如果 C: 磁碟機啟用了 BitLocker,請執行以下指令來暫停 BitLocker (: ) :manage-bde -protectors -disable C:
  6. 如果 C: 磁碟機啟用了 BitLocker,請執行以下指令以恢復 BitLocker () : manage-bde -protectors -enable C:
  7. 此功能更新 BitLocker 綁定,使其使用 Windows 選擇的預設 PCR 設定檔。

如果你不想移除這個群組原則設定,可以透過暫時暫停 BitLocker 並安裝安全開機更新來安裝新的 Windows 開機管理員。 方法如下:

  1. 如果 C: 磁碟機啟用了 BitLocker,請執行以下指令來暫停 BitLocker (: ) :manage-bde -protectors -disable C:
  2. 執行以下指令: Start-ScheduledTask -TaskName “\Microsoft\Windows\PI\Secure-Boot-Update”
  3. 重新啟動裝置。
  4. 當新的 Windows 開機管理器成功安裝後,請執行指令:manage-bde -protectors -enable C: 來啟用 BitLocker:
Windows Server Update Services (WSUS) 不會顯示錯誤細節

安裝 KB5070881 或更新版本的更新之後,Windows Server Update Services (WSUS) 不會在其錯誤報告中顯示同步處理錯誤詳細資料。 此功能暫時被移除,以解決遠端程式碼執行漏洞( CVE-2025-59287)。

與遠端桌面相關的警告可能無法正確顯示

問題

安裝此更新後,開啟遠端桌面 (RDP) 檔案時出現 的安全警告 ,在某些情況下可能無法正確顯示。

這個問題可能發生在你使用多台螢幕,顯示縮放設定不同的 (例如,一台設為 100%,另一台設為 125%) 。 當這種情況發生時,警告視窗可能會顯示重疊的文字或部分隱藏的按鈕,這會讓訊息難以閱讀或互動。

因應措施

這個問題在 KB5087539中都有討論。

如何取得此更新

安裝此更新前

Microsoft現在結合了作業系統最新的服務堆疊更新 (SSU) 與最新的累積更新 (LCU) 。 關於 SSU 的一般資訊,請參見 服務堆疊更新

安裝此更新

安裝此更新請使用以下 Windows 與 Microsoft 發布管道之一。


可取得 下一步
未包含 請參閱其他選項。

注意

  • 如果你想移除這個更新
  • 注意:在您決定移除此更新之前,請參閱 「了解風險:為何不應移除安全更新」。
  • 安裝合併的 SSU 與 LCU 套件後移除此更新,請使用 DISM/Remove-Package 命令列選項,並以 LCU 套件名稱作為參數。 你可以用這個指令找到套件名稱: DISM /online /get-packages
  • Windows Update在合併套件上執行獨立安裝程式 (wusa.exe) ,搭配 /uninstall 開關,因為合併套件包含 SSU,無法運作。 安裝後無法移除 SSU。

檔案資訊

欲查詢本次更新所提供的檔案清單,請下載累積更新5091157的檔案資訊。

如需服務堆疊更新中提供的檔案清單,請下載 SSU (KB5082062) - 版本 26100.32692 的檔案資訊。

變更記錄

變更日期 變更描述
2026年6月4日 已修正目錄分頁中 x64 .msu 更新字串,KB5091157 (本次更新)
2026年4月27日 已修正已知問題「與遠端桌面相關的警告可能無法正確顯示」