Windows 安全開機憑證到期
重要: 大部分 Windows 裝置使用的安全開機憑證設定為從 2026 年 6 月開始到期。 如果未及時更新,這可能會影響某些個人和商務裝置安全開機的能力。 為避免中斷,建議您檢閱指導方針,並採取行動事先更新憑證。
如需 Windows 裝置的詳細資料和準備步驟,請參閱 Windows 安全開機憑證到期和 CA 更新
如需 Windows 伺服器的詳細資料與準備步驟,請參閱以下資源:
摘要
本文列出本次安全更新中包含的安全議題與品質改進。
適用於: Windows Server 2016
本次安全更新包含以下更新中的修正與改進:
以下是本次更新所解決的問題摘要。 括號內的粗體字表示我們正在記錄的變更項目或區域。
-
[Windows 元件服務 (WinCS) ] 此更新解決了影響 Windows 元件服務 (WinCS) Windows 10(版本 1607 及 Windows Server 2016)的問題。 部分 WinCS 元件遺失。 因此,使用 WinCS 無法開啟安全開機。
-
[遠端桌面] 此更新強化了對利用遠端桌面 (.rdp) 檔案的釣魚攻擊的防護。 當你打開 .rdp 檔案時,遠端桌面會在連接前顯示所有要求的連線設定,且預設每個設定都關閉。 首次在裝置上開啟 .rdp 檔案時,也會顯示一次性安全警告。 欲了解更多資訊,請參閱 「在 RDP) 檔案中開啟遠端桌面時 (安全警告。
-
[Windows 部署服務 (WDS) ] 此更新預設禁用 WDS 中的「免持部署」功能,且不再支援此功能。 欲了解更多關於此變更的資訊,請參閱 Windows 部署服務 (WDS) Hands-Free 與 CVE-2026-0386 相關的部署強化指引。
-
[Kerberos 協議] 此更新更改了 Kerberos 金鑰分發中心 (KDC) 操作的預設 DefaultDomainSupportedEncTypes 值,以利用 AES-SHA1 用於未明確定義 msds-SupportedEncryptionTypes Active Directory 屬性的帳號。 欲了解更多資訊,請參閱 《如何管理 Kerberos KDC 使用 RC4 以處理與 CVE-2026-20833 相關的服務帳號工單變更》。
-
[安全啟動] 透過此更新,Windows 品質更新包含更多高信心度裝置目標資料,擴大有資格自動獲得新安全開機憑證的裝置覆蓋範圍。 裝置只有在展現足夠成功的更新訊號並維持受控且分階段的部署後,才會收到新憑證。
如果你安裝了較早的更新,只有這個套件中包含的新更新會被下載並安裝到你的裝置上。
欲了解更多安全漏洞資訊,請參閱新版安全更新指南網站及2026年4月安全匯報。
欲了解更多關於 Windows 10 版本 1607 的資訊,請參閱其更新歷史頁面。
關於 Windows 更新術語的資訊,請參閱關於 Windows 更新類型 及 每月品質更新類型的文章。
此更新中的已知問題
Microsoft 目前尚未發現此更新有任何問題。
適用於: Windows 10 企業版 LTSB 2016 及 Windows 10 IoT 企業版 2016 LTSB
本次安全更新包含以下更新中的修正與改進:
以下是本次更新所解決的問題摘要。 括號內的粗體字表示我們正在記錄的變更項目或區域。
-
[Windows 元件服務 (WinCS) ] 此更新解決了影響 Windows 元件服務 (WinCS) Windows 10(版本 1607 及 Windows Server 2016)的問題。 部分 WinCS 元件遺失。 因此,使用 WinCS 無法開啟安全開機。
-
[遠端桌面] 此更新強化了對利用遠端桌面 (.rdp) 檔案的釣魚攻擊的防護。 當你打開 .rdp 檔案時,遠端桌面會在連接前顯示所有要求的連線設定,且預設每個設定都關閉。 首次在裝置上開啟 .rdp 檔案時,也會顯示一次性安全警告。 欲了解更多資訊,請參閱 「在 RDP) 檔案中開啟遠端桌面時 (安全警告。
-
[安全啟動] 透過此更新,Windows 品質更新包含更多高信心度裝置目標資料,擴大有資格自動獲得新安全開機憑證的裝置覆蓋範圍。 裝置只有在展現足夠成功的更新訊號並維持受控且分階段的部署後,才會收到新憑證。
如果你安裝了較早的更新,只有這個套件中包含的新更新會被下載並安裝到你的裝置上。
欲了解更多安全漏洞資訊,請參閱新版安全更新指南網站及2026年4月安全匯報。
欲了解更多關於 Windows 10 版本 1607 的資訊,請參閱其更新歷史頁面。
關於 Windows 更新術語的資訊,請參閱關於 Windows 更新類型 及 每月品質更新類型的文章。
此更新中的已知問題
Microsoft 目前尚未發現此更新有任何問題。
如何取得此更新
安裝此更新前
若要安裝 2025 年 1 月 14 日或之後釋出的更新,我們建議您先安裝最新的 Servicing Stack Update (SSU) 。 如果你的裝置或離線映像檔沒有安裝最新的 SSU,可能無法安裝這個更新。
注意 在你安裝 SSU 之前,這個更新可能不會提供給你的裝置。 為了降低安全風險,請盡快安裝 SSU。
-
如果你使用 Windows Update,最新的 SSU (KB5082089) 會自動提供給你。 如果沒有安裝最新的 SSU,可能無法安裝這個更新。
-
如果你使用 Windows Update for Business,最新的 SSU (KB5082089) 會自動提供給你。 如果沒有安裝最新的 SSU,可能無法安裝這個更新。
-
如果您使用更新目錄,我們建議您下載並安裝最新的 SSU (KB5082089) 。 如果沒有安裝最新的 SSU,可能無法安裝這個更新。
-
如果您是 WSUS) Windows Server Update Services (管理員,必須批准 SSU KB5082089 及此更新KB5082198。
關於 SSU 的一般資訊,請參見 服務堆疊更新。
安裝此更新
安裝此更新請使用以下 Windows 與 Microsoft 發布管道之一。
|
可供使用 |
後續步驟 |
|
|
此更新將從 Windows Update 自動下載並安裝。 |
|
可以使用 |
後續步驟 |
|
|
此更新將依照已設定的政策,從 Windows Update for Business 自動下載並安裝。 |
|
可供使用 |
後續步驟 |
|
|
要取得本次更新的獨立套件,請前往 Microsoft Update 目錄 網站。 關於如何從更新目錄下載及安裝更新的資訊,請參閱「如何從 Windows Update 目錄下載包含驅動程式與熱修正的更新」。 |
|
可供使用 |
後續步驟 |
|
|
若您設定產品與分類如下,此更新將自動Windows Server Update Services (與 WSUS) 同步:
若要依產品與分類設定 WSUS 伺服器同步,請參閱「 依產品與分類同步更新」。 若要手動將更新匯入 WSUS,請參見 「使用 PowerShell 將更新匯入 WSUS」。 |
檔案詳細資訊
本次更新中包含的檔案清單以 CSV 格式提供,包含逗號 (分隔的) (*.csv) 檔案。 該檔案可在文字編輯器如記事本或 Microsoft Excel 中開啟。
附註: 英文 (美國) 版本的軟體更新可能包含其他語言的檔案。
![[下載] 圖示](/images/zh-tw/dcac5586-5e57-4421-a25c-6f560016c041?format=avif&w=800)
相關資訊
關於 Microsoft Store 應用程式更新的通知
Windows 更新不會安裝 Microsoft Store 應用程式更新。 如果你是企業用戶,請參閱 Microsoft Store 應用程式 - Configuration Manager。 如果你是消費者用戶,請參閱 Microsoft Store 中「獲取應用程式與遊戲更新」。
結束支援資訊
Windows Server 2016 與 Windows 10 2016 LTSB 終止支援
下列截止日期起,Microsoft 將不再提供 Windows Update、技術協助或安全性問題修正的免費軟體更新:
♦ Windows 10 企業版 LTSB 2016: 2026 年 10 月 13 日
♦ Windows 10 IoT 企業版 2016 LTSB:2026 年 10 月 13 日
♦ Windows Server 2016:2027 年 1 月 12 日
如需詳細資訊,請參閱 Windows Server 2016 與 Windows 10 2016 LTSB 終止支援計畫。
