2026 年 5 月 12 日 - KB5087420 (作業系統組建 22631.7079)

這次Windows 11的累積更新版本為 23H2 (KB5087420) ，包含最新的安全修補與改進，以及上個月可選預覽版的非安全更新。若想了解更多安全更新、可選非安全預覽更新、帶外 (OOB) 更新，以及持續創新的差異，請參閱 Windows 每月更新說明。關於 Windows 更新術語的資訊，請參閱不同類型的 Windows 軟體更新。

欲查看本版本的最新更新，請造訪 Windows 版本健康儀表板或 Windows 11 版本 23H2 的更新歷史頁面。

小提示：本月的影片可在 Windows 11 版本 25H2 與 24H2 文章中取得。

公告與訊息

本區提供與本版本相關的重要通知，包括公告、變更日誌及支援終止通知。

Windows 安全開機憑證到期

重要：大部分 Windows 裝置使用的安全開機憑證設定為從 2026 年 6 月開始到期。 Microsoft 過去幾個月一直在消費者裝置和非受管商務裝置上更新這些憑證。尚未收到新憑證的裝置將持續正常啟動與運作，而標準的 Windows 更新也將會持續安裝。未來幾個月，我們會透過 Windows 更新持續安裝較新的憑證。

您可以在 Windows 安全性應用程式中查看電腦狀態。如果您是 IT 系統管理員，請遵循適用於 Windows 用戶端的安全開機劇本 (英文) 和 Windows Server (英文) 中的指導。

變更日期	變更描述
2026年6月9日	已知問題修訂版：更新的解決方法，適用於「未被推薦的 BitLocker 群組原則設定裝置可能需要輸入其 BitLocker 恢復金鑰」
2026年5月20日	已修正 Microsoft Update Catalog 連結，指向 2026 年 5 月 12 日的更新，而非 2026 年 4 月 14 日的更新。
2026年5月13日	新增安全開機發布通知：此更新在符合資格的裝置上新增 C:\WindowsSecureBoot 資料夾。

改善

此更新解決了您 Windows 作業系統的安全問題。

重要: 使用 EKB KB5027397 更新到 Windows 11，版本 23H2。

本次安全更新包含了自 2026 年 4 月 14 日) (KB5082052的修正與品質改進。以下摘要概述本次更新所涵蓋的關鍵議題。此外，還包含可用的新功能。括號內的粗體字表示變更的項目或區域。

[安全啟動]
- 透過此更新，Windows 品質更新包含更多高信心度裝置目標資料，擴大有資格自動獲得新安全開機憑證的裝置覆蓋範圍。裝置只有在展現足夠成功的更新訊號並維持受控且分階段的部署後，才會收到新憑證。
- 此更新在符合資格的裝置上新增 SecureBoot資料夾， C:\Windows下。該資料夾包含範例腳本，專為擁有 IT 專業人員、積極管理整個裝置群更新的組織設計。這些腳本可用於偵測安全開機憑證更新狀態，並透過安全部署機制在 Active Directory 環境中自動部署。更多資訊請參閱《安全開機端對端自動化範例指南》。
[國家與操作員設定資產 (COSA) ]此更新更新部分行動業者的個人資料更新。
[夏令時間 (夏令時間) ] 此更新支援阿拉伯埃及共和國2023年夏令時間的變更。
[企業號狀態漫遊 (ESR) ] ESR 現在可以透過 Windows 備份組織政策來管理。這讓 IT 管理員的設定更簡單。欲了解更多，請參閱企業州漫遊。
[Microsoft Defender 智慧螢幕] 此更新使 Windows 殼層中的 Microsoft Defender SmartScreen 能傳送未簽署檔案的雜湊值。此支援讓 SmartScreen 能使用更新的聲譽模型，並提升應用程式聲譽檢查的品質。
遠端桌面 (已知問題) ] 已修正：此更新解決了影響遠端桌面連線安全警告對話框的問題。當多螢幕設定不同時，對話可能會錯誤呈現。這可能發生在安裝 2026 年 4 月的 (KB5082052) 安全更新後。欲了解更多資訊，請參閱「在 RDP) 檔案中開啟遠端桌面時 (安全警告。

如果你已經安裝了先前的更新，裝置只會下載並安裝這個套件中包含的新更新。

欲了解更多安全漏洞資訊，請參閱安全更新指南及 2026年5月安全更新。

Windows 11 服務堆疊更新 (KB5086307) - 22621.6937

此更新會對服務堆疊 (其為安裝 Windows 更新的元件) 進行品質改良。服務堆疊更新 (SSU) 可確保您擁有穩健、可靠的服務堆疊，讓您的裝置可以收到並安裝 Microsoft 更新。欲了解更多關於 SSU 的資訊，請參閱簡化本地部署的服務堆疊更新。

本次更新中已知的問題

問題

部分裝置若設定了不建議的 BitLocker 群組原則，可能需要在安裝此更新後首次重新啟動時輸入 BitLocker 修復金鑰。

此問題僅影響少數符合以下所有條件的系統。這些條件不太可能出現在非 IT 部門管理的個人裝置上。

BitLocker 不是在這個作業系統磁碟機上啟用。
群組原則「為原生 UEFI 韌體組態設定 TPM 平台驗證設定檔」已設定，且驗證設定檔中包含 PCR7 (或手動設定了等效的登錄機碼)。
系統資訊 (msinfo32.exe) 報告安全開機狀態 PCR7 綁定為「不可能」。
Windows UEFI CA 2023 憑證存在於裝置的安全開機簽章資料庫 (DB) 中，使該裝置有資格將 2023 年簽署的 Windows 開機管理程式設為預設。
裝置尚未執行 2023 年簽署的 Windows 開機管理程式。

在此案例中，只要群組原則設定保持不變，BitLocker 修復金鑰只需要輸入一次 -- 後續重新啟動不會觸發 BitLocker 修復畫面。如需協助尋找你的 BitLocker 恢復金鑰，請參閱文章《尋找你的 BitLocker 恢復金鑰》。

建議企業在安裝此更新前，審核其 BitLocker 群組原則是否明確包含 PCR7，並使用 msinfo32.exe 檢查 PCR7 綁定狀態。 (請參考下方的解決方法 )

因應措施

這個問題在KB5093998中都有討論。安裝KB5093998 ，則使用此不相容群組政策設定的裝置將無法安裝 2023 簽署的 Windows 開機管理器。如果您的裝置受到影響，安裝 Windows 更新時，系統事件日誌中會出現事件 ID 1032：「安全開機更新啟動管理器 (2023) 因與目前 BitLocker 設定不相容而未被套用。」

如果你收到事件 ID 1032，Microsoft 強烈建議在安裝更新前移除群組原則設定，這樣你才能安裝 2023 年簽署的 Windows 開機管理員，並繼續獲得最新的安全開機保護。

安裝更新前請移除群組原則設定 (建議)

請開啟群組原則編輯器 (gpedit.msc) 或群組原則管理主控台。
請導覽至: 電腦設定 > 管理範本 > Windows 元件 > BitLocker 磁碟機加密 > 作業系統磁碟機。
將「為原生 UEFI 韌體組態設定 TPM 平台驗證設定檔」設為「未設定」。
請在受影響的裝置上執行以下指令以套用原則變更: gpupdate /force
如果 C：磁碟機啟用了 BitLocker，請執行以下指令來暫停 BitLocker () ： manage-bde -protectors -disable C：
如果 C：磁碟機啟用了 BitLocker，請執行以下指令以恢復 BitLocker () ：manage-bde -protectors -enable C：
此功能更新 BitLocker 綁定，使其使用 Windows 選擇的預設 PCR 設定檔。

如果你不想移除這個群組原則設定，可以透過暫時暫停 BitLocker 並安裝安全開機更新來安裝新的 Windows 開機管理員。方法如下：

如果 C：磁碟機啟用了 BitLocker，請執行以下指令來暫停 BitLocker (： ) ：manage-bde -protectors -disable C：
執行以下指令： Start-ScheduledTask -TaskName “\Microsoft\Windows\PI\Secure-Boot-Update”
重新啟動裝置。
當新的 Windows 開機管理器成功安裝後，請執行指令：manage-bde -protectors -enable C： 來啟用 BitLocker：