Certifikatbaserad autentisering är kärnan i moderna Active Directory-miljöer och driver VPN-åtkomst, Windows Hello för företag, inloggning med smartkort, autentisering av fjärrskrivbord och förtroende för domänkontrollanter. Ursprunglig patch från 2022 (KB5014754, adressering CVE-2022-26923, CVE-2022-26931och CVE-2022-34691) introducerade Stark Certifikatmappning; uppföljningen från 2025 (KB5057784, för CVE-2025-26647) lade till NTAuth-store-tillämpning, och båda har nu nått fullständig tillämpning utan kvarvarande registerförbikopplingar. Patchtisdag efter patchtisdag har målstolparna flyttats: nya tillämpningslägen, borttagna registerflyktsluckor, akuta out-of-band-uppdateringar som landar inom några dagar efter en vanlig release. Håller din PKI Att vara hälsosam nu innebär att hålla jämna steg med mycket mer än bara säkerhets-CVE:er.
Den här guiden ger en samlad referens för Microsoft-uppdateringar som påverkar certifikatinfrastrukturen i Windows Server 2025, Windows Server 2022 och Windows Server 2019. Den hjälper administratörer att spåra vad som ändrades, när det ändrades och varför det är viktigt för företags-PKI-miljöer med PKI/ADCS/certifikatpåverkande ändringar. Icke-PKI-korrigeringar ingår också för att ge administratörer en fullständig överblick över uppdateringen.
Förstå snabbkorrigeringar
Om du hanterar Windows Server-infrastruktur har du nästan säkert stött på ordet ”snabbkorrigering” i en Microsoft-supportartikel. Men vad betyder det egentligen, och varför borde PKI-administratörer ägna mer uppmärksamhet åt snabbkorrigeringar än de flesta?
En snabbkorrigering är en riktad programvaruuppdatering som släpps av Microsoft för att åtgärda ett specifikt fel, en regression eller en säkerhetssårbarhet, ofta utanför den normala månatliga Patch Tuesday-takten. Tänk på det som en nödreparation som skickas ut för att laga en enda spricka i väggen, snarare än en planerad renovering av hela byggnaden.
Termen "snabbkorrigering" (eller "hotfix") har sitt ursprung i den tid då patchar bokstavligen applicerades på ett system som kördes, "hotfix", som en motor som kördes utan fullständig avstängning eller ominstallation. Idag använder Microsoft flera relaterade termer som är värda att skilja åt:
| Termin | Vad det betyder |
|---|---|
| snabbkorrigering | En riktad lösning för ett enskilt problem, ofta utgiven brådskande utanför normala cykler. |
| Kumulativ uppdatering (CU) | Ett månatligt paket som släpps på Patch Tuesday och som paketerar alla tidigare släppta korrigeringar tillsammans med nya. Eftersom varje CU är fristående räcker det med att installera endast den senaste CU:n för att få ett system helt uppdaterat, utan att äldre uppdateringar behöver installeras först. |
| Out-of-Band (OOB) | En nödversion som INTE väntar på Patch Tuesday. Microsoft skickar ut dessa när en regression eller sårbarhet är för allvarlig för att sparas till nästa regelbundna cykel. |
| Säkerhetsuppdatering | En åtgärd som specifikt åtgärdar en vanlig sårbarhet och exponering (CVE). Kan levereras som en del av en CU eller som en fristående patch. |
| Hotpatch | En mekanism för live-patchning för Windows Server Datacenter: Azure Edition som tillämpar säkerhetskorrigeringar direkt i minnet utan omstart. Tillgänglig på servrar som finns i Azure eller är anslutna via Azure Arc. Gäller inte för lokala Windows Server-installationer. |
Livscykeln för en Windows Server-snabbkorrigering
Att förstå när och hur Microsoft släpper patchar hjälper dig att förutse snarare än att reagera på förändringar i din miljö. Den typiska livscykeln ser ut så här:
- Sårbarhet eller regression upptäcks antingen internt av Microsofts Security Response Center eller externt av en säkerhetsforskare eller företagskund.
- Microsofts ingenjörer utvecklar och testar en åtgärd. Det kan ta dagar för en kritisk regression eller veckor eller månader för en planerad säkerhetsförstärkning.
- Patchtisdagen (andra tisdagen i varje månad) är det normala leveransfönstret. Planerade säkerhetsfixar och kvalitetsförbättringar samlas här som kumulativa uppdateringar.
- Out-of-Band (OOB)-version: när en korrigering inte kan vänta en hel månad (t.ex. domänkontrollanter kraschar vid omstart), skickar Microsoft en OOB-uppdatering, ibland inom 72 timmar efter en Patch Tuesday-version.
- Hotpatch-version (endast Azure Edition): Vissa korrigeringar är bakåtportade till hotpatch-formatet så att Azure-värdbaserade servrar kan ta emot dem utan driftstopp.
Varför PKI-administratörer måste spåra snabbkorrigeringar på olika sätt
De flesta IT-team behandlar patchhantering som en riskreduceringsövning: installera uppdateringar, testa för regressioner, gå vidare. För PKI- och Active Directory-miljöer fallerar den modellen eftersom Microsofts certifikathärdningsprocess har gjort kumulativa uppdateringar till en vektor för ändringar i autentiseringstillämpningen, inte bara buggfixar.
Två parallella verkställighetsspår
Spår 1: KB5014754 (Strong Certificate Mapping): Styr registernyckeln StrongCertificateBindingEnforcement. Full Enforcement blev standard i februari 2025; registerförbikopplingen drogs tillbaka med uppdateringen den 9 september 2025.
Spår 2: VILL INTE / CVE-2025-26647 (NTAuth Store Enforcement): Styr registernyckeln AllowNtAuthPolicyBypass. Granskningsläget började i april 2025; Enforcement by Default började i juli 2025; registerförbikopplingen drogs tillbaka med uppdateringen den 14 oktober 2025.
Att slutföra Spår 1 uppfyller inte kraven för Spår 2. Båda måste åtgärdas oberoende av varandra.
Här är den grundläggande skillnaden som gör PKI-patchning unikt komplex:
- En typisk serverpatch kan ändra hur en tjänst beter sig under specifika förhållanden. En PKI-relevant patch kan i tysthet ändra huruvida alla domänanslutna enheter i din organisation kan autentisera.
- En typisk återställning ångrar en patch. Att återställa en KB som aktiverade fullständigt tillämpningsläge kanske inte återställer din autentiseringsmiljö om certifikatmallar redan har utfärdats på nytt eller mappningar har ändrats.
- En typisk patch är reversibel via registerinställningar. Registervärdet StrongCertificateBindingEnforcement (KB5014754) togs bort med uppdateringen den 9 september 2025; registervärdet AllowNtAuthPolicyBypass (KB5057784 / CVE-2025-26647) togs bort med uppdateringen den 14 oktober 2025. Från och med oktober 2025 finns ingen registerförbikoppling kvar för något av tillämpningsspåren.
Med den kontexten på plats är här den fullständiga PKI-snabbkorrigeringsreferensen som täcker alla uppdateringar som påverkar certifikat från maj 2022 års ursprung KB5014754 (gäller Server 2019 och Server 2022) till juni 2026. Windows Server 2025 börjar gälla vid dess allmänna tillgänglighetsdatum den 1 november 2024.
Windows Server 2025
Windows Server 2025 blev allmänt tillgänglig den 1 november 2024. Den här tabellen täcker 18 snabbkorrigeringar för Windows Server 2025 till och med juni 2026, inklusive PKI-anslutna kumulativa uppdateringar och tre OOB-nödutgåvor.
| KB-artikel | Utgivningsdatum | Uppdateringstyp | BESKRIVNING | CVE / Referens |
|---|---|---|---|---|
| KB5044284 | October 8, 2024 | Kumulativ uppdatering | [Fjärrskrivbordsgateway-tjänst] Åtgärdat: Tjänsten slutar svara när en tjänst använder fjärrproceduranrop (RPC) över HTTP, vilket gör att anslutna klienter kopplas bort. | CVE-2024-26248, CVE-2024-29056 |
| KB5050009 | Januari 14, 2025 | Kumulativ uppdatering | Blockeringslista för sårbara drivrutiner i Windows-kärnan (DriverSiPolicy.p7b)] Uppdaterade listan över drivrutiner som är i riskzonen för BYOVD-attacker (Bring Your Own Vulnerable Driver). Inkluderar förbättringar av servicing stack. | CVE-2022-26931, CVE-2022-26923 |
| KB5051987 | Februari 11, 2025 | Kumulativ uppdatering (kritisk) | [Digital/analog-omvandlare (DAC)] Åtgärdat: USB-ljudenheter (särskilt de som använder DAC-drivrutiner baserade på USB 1.0) kunde sluta fungera, vilket avbröt uppspelningen. [USB-kameror] Åtgärdat: Enheten känner inte igen att kameran är på. Obs! Den här uppdateringen introducerade ett känt problem som orsakade att fjärrskrivbordssessioner fryser kort efter anslutning (löst i KB5055523). | CVE-2022-26931, CVE-2022-26923, CVE-2022-34691 |
| KB5053598 | Mars 11, 2025 | Kumulativ uppdatering | [Winlogon] Åtgärdat: Ett stoppfel uppstår under avstängning. Lägger även till en ny kortkommando för Skärmläsaren (Skärmläsartangenten + Ctrl + X) för att kopiera det senast upplästa innehållet till urklipp, och gör det möjligt för Skärmläsaren att automatiskt läsa e-postinnehåll i nya Outlook. | N/A (Kvalitetsfix) |
| KB5055523 | 8 april 2025 | Kumulativ uppdatering (kritisk) | [Autentisering] Åtgärdat: Lösenordsrotationsfel i PKINIT-sökvägen när Kerberos användes med Credential Guard aktiverat, vilket orsakade problem med användarautentisering. Maskinkonton i Credential Guard är tillfälligt inaktiverade i väntan på en permanent åtgärd. [Fjärrskrivbord] Åtgärdat: Sessioner fryste strax efter anslutning, vilket gjorde att mus- och tangentbordsinmatning inte svarade. [Kerberos-autentisering] Ändrat: Lägger till skydd för CVE-2025-26647: Fas 1 — Endast granskningsläge. AllowNtAuthPolicyBypass har standardvärdet 1; händelse-ID 45 loggas för certifikat som inte är NTAuth, men autentisering nekas INTE. Tillämpning som standard börjar med uppdateringen den 8 juli 2025. Händelse-ID 45 kan loggas på domänkontrollanter. [OS-säkerhet] Nytt: Skapar en %systemdrive%\inetpub-mapp på alla enheter oavsett IIS-installationsstatus — krävs för CVE-2025-21204-skydd, radera inte. [Windows Hello] Ändrat: Ansiktsigenkänning kräver nu färgkameror för att upptäcka ett synligt ansikte för förbättrad säkerhet (CVE-2025-26644). | CVE-2025-26647 |
| KB5059087 | 16 april 2025 | Out-of-Band (OOB) | Åtgärdar ett problem där Windows-containrar som körs i Hyper-V-isoleringsläge inte kunde starta efter den 8 april 2025., Version av containeravbildning. En versionsavvikelse mellan containern och värdverktygets virtuella maskin orsakade kompatibilitetsfel; containrar kan nu korrekt komma åt nödvändiga systemfiler från värden. | CVE-2025-26647 |
| KB5060842 | Juni 10, 2025 | Kumulativ uppdatering | Nytt: Skanningsläget stöder nu kommatecken ( , ) för att hoppa till början av ett objekt (tabell, lista osv.) och punkt ( . ) för att hoppa till slutet, vilket förbättrar navigeringen i långa e-postmeddelanden och artiklar. Allmänna säkerhets- och kvalitetsförbättringar. | CVE-2025-26647 |
| KB5062553 | July 8, 2025 | Kumulativ uppdatering | [Installation av program] Åtgärdat: MsiCloseHandle API upplevde förlängd körningstid vid hantering av MSI-filer som innehöll ett stort antal filer. [Kerberos] Åtgärdat: Kerberos-autentisering slutar svara i vissa scenarier när RC4 används för kryptering. | CVE-2025-26647 |
| KB5065426 | September 9, 2025 | Kumulativ uppdatering (kritisk) | [Nätverk] Åtgärdat: Windows Server 2025 visade alltid nätverket som "offentligt" på nya domänkontrollanter; nu söker den efter ett domänkontrollantnamn innan loopback-adresser används för LDAP-bindning. [Skriva ut] Åtgärdat: Användare som inte är administratörer kunde inte avinstallera skrivare som de hade lagt till. Obs: utskriftskomponenter som har övergått till Universal C Runtime Library – utskriftsklienter äldre än Windows 10 v2004 kommer avsiktligt att misslyckas med att skriva ut till uppdaterade servrar. | CVE-2022-26931, CVE-2022-26923 |
| KB5066835 | October 14, 2025 | Kumulativ uppdatering (kritisk) | [Webbläsare] Åtgärdat: Förhandsgranskningsskärmen slutade svara i Chromium-baserade webbläsare. [PowerShell-fjärrstyrning / WinRM] Åtgärdat: Kommandon kunde få timeout efter 10 minuter. [Spel] Åtgärdat: Efter inloggning via Gamepad på låsskärmen svarade inte appar och spel på inmatning efteråt. | CVE-2025-26647 |
| KB5068861 | November 11, 2025 | Kumulativ uppdatering | [Lagring] Åtgärdat: Ett problem som kunde orsaka att vissa lagringsutrymmen blev oåtkomliga eller att Storage Spaces Direct misslyckades när ett lagringskluster skapades. [Startmeny] Nytt: Det booleska alternativet i policyn Konfigurera startpinnar låter administratörer tillämpa startmenypinnar en gång, vilket gör att användare kan anpassa efteråt. [Postkvantkryptografi] Nya funktioner introducerade. | N/A (Kvalitetsfix) |
| KB5072033 | December 9, 2025 | Kumulativ uppdatering | [File Explorer] Nytt: Avdelare separerar nu ikoner på toppnivå i snabbmenyn. [Allmän] Nytt: En omdesignad systemfråga visas när appar begär åtkomst till plats, kamera, mikrofon eller andra funktioner. [Sök i aktivitetsfältet] Nytt: En rutnätsvy hjälper användare att snabbare identifiera bilder i sökresultaten. | N/A (Kvalitetsfix) |
| KB5073379 | Januari 13, 2026 | Kumulativ uppdatering | [Kompatibilitet] Tar bort äldre modemdrivrutiner (agrsm64.sys, agrsm.sys, smserl64.sys, smserial.sys) eftersom hårdvara som är beroende av dessa inte längre fungerar. [Autofyllning av inloggningsuppgifter] Ny säkerhetsförstärkning: dialogrutor för autentiseringsuppgifter svarar inte längre på inmatning via virtuellt tangentbord från fjärrskrivbord eller skärmdelningsverktyg. Detta är också den första versionen där Windows Server 2025 fick sina egna separata KB-identifierare och buildnummer. | N/A (Kvalitetsfix) |
| KB5077793 | Januari 17, 2026 | Out-of-Band (OOB) | [Fjärrskrivbord] Åtgärdat: Efter installationen av säkerhetsuppdateringen från januari 2026 (KB5073379) uppstod fel vid autentiseringsuppgifter under anslutningar till fjärrskrivbord med Windows-appen, vilket påverkade Azure Virtual Desktop och Windows 365. | N/A (Kvalitetsfix) |
| KB5075899 | Februari 10, 2026 | Kumulativ uppdatering | Kumulativ säkerhetsuppdatering med de senaste korrigeringarna och förbättringarna, inklusive icke-säkerhetsrelaterade uppdateringar från den tidigare valfria förhandsversionen. Inkluderar uppdateringar av AI-komponenter (gäller endast Copilot+-datorer; installeras inte på standard Windows Server). Avancerar fasen för tillämpning av KB5025885 Secure Boot-bypassskyddet, och går mot obligatorisk återkallelse av certifikatet "Windows Production PCA 2011". | KB5025885 verkställighetsfas |
| KB5078740 | Mars 10, 2026 | Kumulativ uppdatering | Säkerhetsuppdatering med kvalitetsförbättringar från KB5075899. Belyser ett viktigt meddelande om att certifikat för säker start har löpt ut: certifikat som används av de flesta Windows-enheter kommer att löpa ut från och med juni 2026, vilket kan påverka säker start på enheter som inte har uppdaterats. Fortsätter tillämpningsfasen för KB5025885. | KB5025885 verkställighetsfas |
| KB5082063 | 14 april 2026 | Kumulativ uppdatering | Kumulativ säkerhetsuppdatering med de senaste korrigeringarna och förbättringarna. Ett känt problem har introducerats: ett litet antal enheter kan misslyckas med att installera den här uppdateringen med felet 0x80073712. Dessutom kan domänkontrollanter i skogar med flera domäner som använder Privileged Access Management (PAM) uppleva LSASS-krascher efter omstart. Båda problemen är lösta i KB5091157. | Ej tillämpligt (Regression) |
| KB5091157 | 19 april 2026 | Out-of-Band (OOB) | [Active Directory] Åtgärdat: Efter installationen av säkerhetsuppdateringen från april 2026 kunde domänkontrollanter i skogar med flera domäner som använder Privileged Access Management (PAM) uppleva att LSASS slutar svara, vilket orsakade upprepade omstarter och gjorde domänen otillgänglig. [Installation av Windows-uppdatering] Åtgärdat: Ett litet antal Windows Server 2025-enheter misslyckades med att installera KB5082063. | N/A (Akutåtgärd) |
Obs! Windows Server 2025 delar OS Build 26100.x med Windows 11 24H2. Alla KB:er som anges ovan gäller för båda produkterna.
Windows Server 2022
Windows Server 2022 blev allmänt tillgänglig den 18 augusti 2021. Tabellen nedan visar uppdateringar som påverkar PKI/ADCS/certifikat från ursprunget KB5014754 (maj 2022) till juni 2026. Detta inkluderar 19 snabbkorrigeringar.
| KB-artikel | Utgivningsdatum | Uppdateringstyp | BESKRIVNING | CVE/Referens |
|---|---|---|---|---|
| KB5014754 | May 10, 2022 | Säkerhetsuppdatering (ursprunglig KB) | [Kerberos KDC] Åtgärdat: KDC validerade inte formateringen av maskinnamn under certifikatbaserad autentisering, vilket möjliggjorde förfalskning av certifikat. Konflikter mellan User Principal Names (UPN) och sAMAccountName introducerade ytterligare emuleringsvektorer. Åtgärdar CVE-2022-26931, CVE-2022-26923 och CVE-2022-34691 (privilegiumhöjning via Kerberos-certifikatförfalskning). Företag CA bädda nu in ett SID-tillägg (OID 1.3.6.1.4.1.311.25.2) i utfärdade certifikat; kontrollanter startar i kompatibilitetsläge och loggar svaga mappningar via händelse-ID:n 39, 40 och 41. | CVE-2022-26931, CVE-2022-26923, CVE-2022-34691 |
| KB5044281 | October 8, 2024 | Kumulativ uppdatering | [MSIX-applikationer] Åtgärdat: Det gick inte att öppna när den installerades från en HTTPS-URI om nedladdningen är ofullständig. [Aktivitetshanteraren] Åtgärdat: Slutar svara när man väljer fliken Prestanda. [AppLocker] Åtgärdat: Regelsamlingstillämpningsläget skrivs inte över vid sammanslagning av regler med en okonfigurerad samling. [Fjärrskrivbord] Åtgärdat: Windows-servrar kan störa fjärrskrivbordsanslutningar i hela organisationen. | CVE-2024-26248, CVE-2024-29056 |
| KB5049983 | Januari 14, 2025 | Kumulativ uppdatering | [Blocklista för sårbara drivrutiner i Windows-kärnan] Uppdaterad: Lägger till drivrutiner som är i riskzonen för BYOVD-attacker (Bring Your Own Vulnerable Driver). Åtgärdar säkerhetsproblem för Windows-operativsystemet. | CVE-2022-26931, CVE-2022-26923 |
| KB5051979 | Februari 11, 2025 | Kumulativ uppdatering (kritisk) | Gör diverse säkerhetsförbättringar av interna operativsystemfunktioner. Känt problem introducerat: Enheter med Citrix Session Recording Agent (SRA) version 2411 kanske inte kan slutföra installationen (löst i KB5053603). | CVE-2022-26931, CVE-2022-26923, CVE-2022-34691 |
| KB5053603 | Mars 11, 2025 | Kumulativ uppdatering | Gör diverse säkerhetsförbättringar av interna operativsystemfunktioner. Inga ytterligare kvalitetsproblem har dokumenterats för den här versionen. | N/A (Kvalitetsfix) |
| KB5055526 | 8 april 2025 | Kumulativ uppdatering (kritisk) | [Autentisering] Åtgärdat: Fel vid rotation av maskinlösenord i PKINIT-sökvägen när Kerberos används med Credential Guard aktiverat. Känt problem introducerat: DC:er kan logga Kerberos-händelse-ID:n 45 och 21 för WHfB Key Trust-miljöer (löst i KB5060526). | CVE-2025-26647 |
| KB5059092 | 16 april 2025 | Out-of-Band (OOB) | Åtgärdar ett startfel på Windows-containrar som körs i Hyper-V-isoleringsläge när containerns patchnivå avviker från värdverktygets virtuella maskin. Inte direkt PKI-påverkande. WHfB Key Trust / Falskt larm för händelse 45/21 åtgärdat i KB5060526. | CVE-2025-26647 |
| KB5060526 | Juni 10, 2025 | Kumulativ uppdatering | [DHCP-server] Åtgärdat: DHCP-servertjänsten kan intermittent sluta svara, vilket påverkar IP-förnyelse för klienter. [Språk] Åtgärdat: Problem med efterlevnad av kinesiska tecken i GB18030. Åtgärdar regressionen WHfB Key Trust / Machine PKINIT false Event ID 45/21 från KB5055526. | CVE-2025-26647 |
| KB5062572 | July 8, 2025 | Kumulativ uppdatering | [DHCP-server] Åtgärdat: Problem med att DHCP-servern intermittent slutar svara. [Språk] Åtgärdat: Kinesiska tecken uppfyller GB18030-2022-standarden. [Prestanda] Åtgärdat: Oanvända språkpaket och Feature on Demand-paket togs inte bort helt. Känt problem introducerat: Changjie IME-problem för traditionell kinesiska (lösta i KB5063880). | CVE-2025-26647 |
| KB5065432 | September 9, 2025 | Kumulativ uppdatering (kritisk) | [Appkompatibilitet] Åtgärdat: Oväntade UAC-frågor för vanliga användare som kör MSI-reparationsåtgärder (introducerades av augusti 2025-uppdateringen för CVE-2025-50173). Påverkar Autodesk AutoCAD och liknande appar. [SMB/NetBIOS] Känt problem introducerat: Efter installation av KB5065432 kunde anslutningar till SMBv1-resurser med NetBIOS över TCP/IP (NetBT) misslyckas. Microsoft löste problemet i KB5066782. | CVE-2022-26931, CVE-2022-26923 |
| KB5066782 | October 14, 2025 | Kumulativ uppdatering (kritisk) | [Kinesisk IME] Åtgärdat: Tecken visas inte korrekt och problem med kompatibilitet med GB18030. [Nätverkande] Åtgärdat: Fel vid anslutning till delade filer i SMB v1 över NetBT, introducerat av KB5065432. Känt problem introducerat: Problem med smartkortsautentisering relaterade till en säkerhetsändring för Windows Cryptographic Services (löst 22 oktober 2025). | CVE-2025-26647 |
| KB5068787 | November 11, 2025 | Kumulativ uppdatering | [Appkompatibilitet] Åtgärdat: Oväntade UAC-frågor för vissa appar, inklusive Autodesk AutoCAD (introducerades genom säkerhetshärdning i augusti 2025). [Säkerhet] Åtgärdat: Efter uppgraderingen av domänkontrollanten störde ändringar i registerbehörigheterna i Microsoft Defender för Endpoint den molnbaserade kommunikationen. | N/A (Kvalitetsfix) |
| KB5073457 | Januari 13, 2026 | Kumulativ uppdatering | [Windows-app / Fjärrskrivbord] Känt problem introducerat: Fel på autentiseringsuppgifter vid anslutning till fjärrskrivbord med Windows-appen på Azure Virtual Desktop och Windows 365 (löst med KB5077800). | N/A (Kvalitetsfix) |
| KB5077800 | Januari 17, 2026 | Out-of-Band (OOB) | [Windows-app / Fjärrskrivbord] Åtgärdat: Åtgärdar fel vid autentiseringsuppgifter som introducerades av KB5073457 under fjärrskrivbordsanslutningar med Windows-appen på Azure Virtual Desktop och Windows 365. (Kumulativ ersätter KB5073457). | N/A (Kvalitetsfix) |
| KB5075906 | Februari 10, 2026 | Kumulativ uppdatering | [File Explorer] Åtgärdat: Mappnamnbyte med desktop.ini-filer fungerade inte korrekt; inställningen LocalizedResourceName ignorerades. [Teckensnitt] Uppdaterad: Kinesiska teckensnitt för att stödja GB18030-2022A-standarden. [Grafik] Åtgärdat: Vissa GPU-konfigurationer upplever dxgmms2.sys KERNEL_SECURITY_CHECK_FAILURE-felet. | KB5025885 verkställighetsfas |
| KB5078766 | Mars 10, 2026 | Kumulativ uppdatering | [Säker start] Nytt: Ytterligare högkonfidensdata för enhetsinriktning ökar täckningen av enheter som är berättigade att automatiskt ta emot nya Secure Boot CA-certifikat. [Windows systemavbildningshanterare] Förbättrat: Tillförlitlighet vid val av betrodda katalogfiler. | KB5025885 verkställighetsfas |
| KB5082142 | 14 april 2026 | Kumulativ uppdatering | [Kerberos-protokoll] Ändrat: Standardvärdet DefaultDomainSupportedEncTypes för KDC-åtgärder använder nu AES-SHA1 för konton utan ett explicit msds-SupportedEncryptionTypes AD-attribut. [Audio] Förbättrat: Minskar systemets bristande svarsfrekvens relaterad till ljudaktivitet. [Kärna] Förbättrat: Systemstabilitet vid stora filoperationer. Känt problem introducerat: LSASS-startfel på domänkontrollanter i PAM-miljöer med flera domäner (löst med KB5091575). | Ej tillämpligt (Regression) |
| KB5091575 | 19 april 2026 | Out-of-Band (OOB) | [Active Directory] Åtgärdat: Efter installationen av säkerhetsuppdateringen från april 2026 kan domänkontrollanter i skogar med flera domäner som använder Privileged Access Management (PAM) uppleva LSASS-startfel, vilket förhindrar att autentisering och katalogtjänster fungerar. | N/A (Akutåtgärd) |
Windows Server 2019
Windows Server 2019 blev allmänt tillgängligt den 2 oktober 2018. Det vanliga stödet upphörde den 9 januari 2024; det utökade stödet fortsätter till den 9 januari 2029. Tabellen nedan täcker uppdateringar som påverkar PKI/ADCS/certifikat från ursprunget KB5014754 (maj 2022) till juni 2026. Detta inkluderar 19 snabbkorrigeringar (inklusive ursprunget KB5014754).
| KB-artikel | Utgivningsdatum | Uppdateringstyp | BESKRIVNING | CVE / Referens |
|---|---|---|---|---|
| KB5014754 | May 10, 2022 | Säkerhetsuppdatering (ursprunglig KB) | [AD CS / KDC] Företagscertifikatutfärdare börjar bädda in ett nytt SID-tillägg (OID 1.3.6.1.4.1.311.25.2) i alla utfärdade certifikat. DC:er startar i kompatibilitetsläge – autentisering av svagt mappade certifikat är tillåten, men händelse-ID:n 39/40/41 loggas. Åtgärdar CVE-2022-26931 och CVE-2022-26923 (Kerberos-certifikatprivilegieupptrappning). | CVE-2022-26931, CVE-2022-26923, CVE-2022-34691 |
| KB5044277 | October 8, 2024 | Kumulativ uppdatering | [Fördröjning av bildavstängning] Åtgärdat: Webbläsaren ignorerar sitt värde i HKLM Internet Explorer-registernyckeln. [Fjärrskrivbord (känt problem)] Åtgärdat: Windows-servrar kan störa fjärrskrivbordsanslutningar med äldre protokoll som RPC över HTTP i fjärrskrivbordsgatewayen (inträffar sporadiskt, ungefär var 30:e minut). | CVE-2024-26248, CVE-2024-29056 |
| KB5050008 | Januari 14, 2025 | Kumulativ uppdatering | [Blocklista för sårbara drivrutiner i Windows-kärnan] Uppdaterad: Lägger till drivrutiner som är i riskzonen för BYOVD-attacker (Bring Your Own Vulnerable Driver). Åtgärdar säkerhetsproblem för Windows-operativsystemet. | CVE-2022-26931, CVE-2022-26923 |
| KB5052000 | Februari 11, 2025 | Kumulativ uppdatering (kritisk) | [Blocklista för sårbara drivrutiner i Windows-kärnan] Uppdaterad: Lägger till drivrutiner som är i riskzonen för BYOVD-attacker. [Certifikatbaserad autentisering] Fullständigt tillämpningsläge aktiverat: domänkontrollanter nekar nu autentisering om ett certifikat inte kan mappas starkt till en användare eller enhet. Kompatibilitetsläget kan återställas via StrongCertificateBindingEnforcement=1 ENDAST FRAM TILL Patch Tuesday den 9 september 2025. Därefter har registervärdet ingen effekt. | CVE-2022-26931, CVE-2022-26923, CVE-2022-34691 |
| KB5053596 | Mars 11, 2025 | Kumulativ uppdatering | [Systemet] Gör det möjligt för systemprocesser att lagra temporära filer i en säker katalog. Gör diverse säkerhetsförbättringar av operativsystemets interna funktionalitet. Inga ytterligare kvalitetsproblem har dokumenterats för den här versionen. | N/A (Kvalitetsfix) |
| KB5055519 | 8 april 2025 | Kumulativ uppdatering (kritisk) | [Autentisering] Åtgärdat: Fel vid rotation av maskinlösenord i PKINIT-sökvägen när Kerberos används med Credential Guard aktiverat. Känt problem introducerat: Dominatorer kan logga Kerberos-händelse-ID:n 45 och 21 i WHfB Key Trust- och Machine PKINIT-miljöer efter att den här uppdateringen ändrar hur dominatorer validerar certifikat mot NTAuth-arkivet (åtgärdat i KB5060531). | CVE-2025-26647 |
| KB5059091 | 16 april 2025 | Out-of-Band (OOB) | Åtgärdar ett startfel på Windows-containrar som körs i Hyper-V-isoleringsläge när containerns patchnivå avviker från värdverktygets virtuella maskin. Inte direkt PKI-påverkande. Falskt larm för WHfB Key Trust / händelse 45/21 (löst i KB5060531). | CVE-2025-26647 |
| KB5060531 | Juni 10, 2025 | Kumulativ uppdatering | [Autentisering / WHfB] Åtgärdat: Åtgärdar problemet med WHfB Key Trust och Machine PKINIT false Event ID 45/21-loggningsregressionen som introducerades av KB5055519. Dominokontroller hanterar nu korrekt certifikat som är länkade till NTAuth-arkivet utan falsklarm i Key Trust-konfigurationer. | CVE-2025-26647 |
| KB5062557 | July 8, 2025 | Kumulativ uppdatering | Åtgärdat: Autentiseringen slutar svara i vissa RC4-krypteringsscenarier. [FIDO-cachelagrad inloggningsuppgifter] Åtgärdat: Slutar svara i vissa fall på enheter med hybriddomänanslutning. Allmänna säkerhetsförbättringar för operativsystemet. | CVE-2025-26647 |
| KB5065428 | September 9, 2025 | Kumulativ uppdatering (kritisk) | [Certifikatbindning — Slutfas] Registervärdet StrongCertificateBindingEnforcement hanteras inte längre av KDC. Värdet kan finnas kvar på disken, men har ingen effekt (kompatibilitetsläget kan inte återaktiveras via någon registerinställning). [UAC/MSI] Åtgärdat: Oväntade UAC-frågor för standardanvändare som kör MSI-reparationsåtgärder (begränsar omfattningen från CVE-2025-50173-härdning i augusti 2025). [Filserver] Nytt: Granskningsstöd för SMB-klientkompatibilitet för SMB Server-signering och EPA. | CVE-2022-26931, CVE-2022-26923 |
| KB5066586 | October 14, 2025 | Kumulativ uppdatering (kritisk) | [NTAuth / AllowNtAuthPolicyBypass] Fullständig tillämpning: Registervärdet AllowNtAuthPolicyBypass används inte längre; tillämpning av NTAuth-arkivet är nu obligatorisk. Alla Kerberos-autentiseringscertifikat måste utfärdas av en certifikatutfärdare i NTAuth-arkivet utan att någon registerförbigång kvarstår. Allmänna säkerhetsförbättringar. | CVE-2025-26647 |
| KB5068791 | November 11, 2025 | Kumulativ uppdatering | [Internt Windows-operativsystem] Innehåller diverse säkerhetsförbättringar av operativsystemets interna funktionalitet. Obs: Den här uppdateringen levereras under utökad support (vanlig support upphörde 9 januari 2024). Utökade säkerhetsuppdateringar fortsätter till och med 9 januari 2029. | N/A (Kvalitetsfix) |
| KB5073723 | Januari 13, 2026 | Kumulativ uppdatering | [Autofyllning av inloggningsuppgifter] Säkerhetsförstärkning begränsar vissa applikationer från att automatiskt fylla i autentiseringsuppgifter under fjärrsupportsessioner eller automatiserade autentiseringsarbetsflöden. [Kompatibilitet] Tar bort äldre modemdrivrutiner (agrsm64.sys, smserl64.sys, etc.). Känt problem introducerat (1): Fel på autentiseringsuppgifter vid anslutning till fjärrskrivbord med Windows-appen på Azure Virtual Desktop och Windows 365 (löst med KB5077795). Känt problem introducerat (2): Säker start/VSM-aktiverade enheter startar om istället för att stängas av eller försättas i viloläge (löst med KB5075904). | N/A (Kvalitetsfix) |
| KB5077795 | Januari 17, 2026 | Out-of-Band (OOB) | [Windows-app / Fjärrskrivbord] Åtgärdat: Åtgärdar fel vid autentiseringsuppgifter som introducerades av KB5073723 under fjärrskrivbordsanslutningar med Windows-appen på Azure Virtual Desktop och Windows 365. Kumulativt endast för RDP-problemet. Buggen för säker start/omstart av VSM kräver KB5075904. | N/A (Kvalitetsfix) |
| KB5075904 | Februari 10, 2026 | Kumulativ uppdatering | OS-säkerhet (känt problem) Åtgärdat: Datorer med Secure Launch-funktion och Virtual Secure Mode (VSM) aktiverat kunde inte stängas av eller försättas i viloläge efter uppdateringarna från januari 2026, enheten startades om istället. [Teckensnitt] Uppdaterad: Kinesiska teckensnitt för att uppfylla GB18030-2022A-efterlevnaden. [Säker start] Nytt: Börjar distributionen av nya Secure Boot CA-certifikat till berättigade Server 2019-enheter med högkonfidensiell enhetsinriktningsdata före certifikatets utgångsdatum i juni 2026. | KB5025885 verkställighetsfas |
| KB5078752 | Mars 10, 2026 | Kumulativ uppdatering | [Säker start] Uppdaterad: Ytterligare högkonfidensdata för enhetsinriktning ökar täckningen av enheter som är berättigade att automatiskt ta emot nya Secure Boot CA-certifikat. Stegvis utrullning utökas på Server 2019. [Windows systemavbildningshanterare] Förbättrat: Varningsdialogruta tillagd för att hjälpa användare att bekräfta betrodd katalogfilkälla. Diverse säkerhetsförbättringar av interna operativsystemfunktioner. | KB5025885 verkställighetsfas |
| KB5082123 | 14 april 2026 | Kumulativ uppdatering | [Kerberos-protokoll] Ändrat: Standardvärdet DefaultDomainSupportedEncTypes för KDC-åtgärder använder nu AES-SHA1 för konton utan ett explicit msds-SupportedEncryptionTypes AD-attribut. [Säker start] Förbättrat: Dynamisk statusrapportering i Windows säkerhetsinställningar; korrigeringar för BitLocker-återställningsproblem efter uppdateringar av säker start. [Fjärrskrivbord] Förbättrat: Rendering av RDP-säkerhetsvarningsdialogrutor. Känt problem introducerat: LSASS-startfel på domänkontrollanter i PAM-miljöer med flera domäner (löst med KB5091573). | Ej tillämpligt (Regression) |
| KB5091573 | 19 april 2026 | Out-of-Band (OOB) | [Active Directory] Åtgärdat: Efter installationen av säkerhetsuppdateringen från april 2026 (KB5082123) kan domänkontrollanter i skogar med flera domäner som använder Privileged Access Management (PAM) uppleva LSASS-startfel, vilket förhindrar autentisering och katalogtjänster. Förbereder även enheter för det kommande utgångsdatumet för Secure Boot-certifikatet i juni 2026. | N/A (Akutåtgärd) |
Om den här guiden avslöjade brister i er nuvarande PKI-situation erbjuder Encryption Consulting tjänster som är särskilt utformade för att åtgärda dem.
Hur kan krypteringskonsulting hjälpa till
Encryption Consulting erbjuder specialiserade tjänster för att identifiera sårbarheter och minska risker genom att tillhandahålla PKI-tjänster. Vår strategiska vägledning anpassar PKI-lösningar till organisationens mål, vilket ökar effektiviteten och minimerar kostnaderna. Genom att samarbeta med Encryption Consulting kan organisationer frigöra den fulla potentialen hos PKI-lösningar, realisera konkreta ekonomiska fördelar samtidigt som de upprätthåller starka säkerhetsåtgärder.
Vår PKI-bedömningstjänster tillhandahålla en omfattande utvärdering av er befintliga ADCS-miljö och identifiera luckor i CA-hygien, säkerhetskopieringsrutiner, CRL/AIA-konfiguration och databashälsa. Oavsett om er CA-databas har vuxit okontrollerat med tiden eller om era underhållsprocesser saknar struktur, levererar vårt team en detaljerad riskrapport tillsammans med en prioriterad färdplan för att återställa er PKI till ett hälsosamt och granskningsbart tillstånd.
CertSecure-hanterare
Om du hanterar detta i stor skala över hundratals maskiner blir manuell övervakning ohållbar. En av de mest omfattande lösningarna inom CLM-området är CertSecure-hanterare av Encryption Consulting. CertSecure Manager är utformat för att hantera den växande komplexiteten i certifikatmiljöer och erbjuder en centraliserad, automatiserad och policydriven metod för CLM.
- Centraliserad certifikatinventering: Upptäcker och inventerar automatiskt certifikat i moln-, lokala och hybridmiljöer.
- Automatiserad livscykelhantering: Hanterar utfärdande, förnyelse och återkallelse av certifikat med minimal mänsklig inblandning.
- Policy Enforcement Engine: Säkerställer efterlevnad av företagets säkerhetspolicyer och branschstandarder.
- Rollbaserad åtkomstkontroll (RBAC): Tillhandahåller detaljerad åtkomsthantering för att säkerställa att endast behöriga användare kan hantera certifikat.
- Integration med ledande certifikatutfärdare och DevOps-verktyg: Integreras sömlöst med offentliga och privata certifikatutfärdare, samt CI/CD-pipelines.
- Realtidsövervakning och aviseringar: Erbjuder instrumentpaneler och aviseringar för certifikat som löper ut eller är felkonfigurerade.
- Revision och rapportering: Upprätthåller detaljerade loggar och rapporter för efterlevnad och forensisk analys.
Slutsats
För företagsadministratörer är den praktiska slutsatsen enkel: patchhantering för PKI-infrastruktur kan inte längre behandlas som rutin. En enda Patch Tuesday-utgåva kan aktivera en ny tillämpningsfas, återkalla en registerutlösningslucka eller, som april 2026 visade, orsaka att varje domänkontrollant i en skog med flera domäner kraschar vid omstart.
De fem OOB-nöduppdateringarna som Microsoft släppte den 19 april 2026 (totalt sju, inklusive Azure Edition-hotpatches, inom fem dagar efter Patch Tuesday den 14 april 2026) är en påminnelse om att även väl testade uppdateringar kan orsaka allvarliga, miljöspecifika fel när komplexa autentiseringssystem är inblandade.
Windows Production PCA 2011-certifikatet som används av de flesta Windows-enheter för säker start kommer att löpa ut från och med juni 2026. Microsoft har fasat ut nya Secure Boot CA-certifikat via kumulativa uppdateringar sedan februari 2026 (KB5075899, KB5078740, KB5075906, KB5078766, KB5075904, KB5078752) med hjälp av enhetsinriktning med hög konfidens. Administratörer bör:
- Bekräfta att alla Server 2019-, 2022- och 2025-system har fått de kumulativa uppdateringarna från februari eller mars 2026.
- Verifiera att nya Secure Boot CA-certifikat har distribuerats
- Kontrollera att BitLocker Recovery har testats efter uppdateringen. Enheter som inte får de nya certifikaten före utgångsdatumet kan misslyckas med säker start vid nästa omstart.
Det bästa försvaret är att hålla sig informerad innan uppdateringar når produktionsläget:
- Verifiera att alla certifikatutfärdare som utfärdar WHfB Key Trust- eller Machine PKINIT-certifikat är registrerade i NTAuth-arkivet. Kör: certutil -enterprise -store NTAuth för att räkna upp aktuella NTAuth-certifikatutfärdare. Sedan tillämpningen av oktober 2025 kommer certifikat från certifikatutfärdare utanför NTAuth att misslyckas med Kerberos-autentisering på domänkontrollanter.
- Granska dina certifikatmallar för att upptäcka svaga mappningar i god tid före tillämpningsmilstolpar.
- När en ny Patch Tuesday lanseras, jämför den mot den här guiden innan du distribuerar den till domänkontrollanter.
- Kör en kontroll av ställningen före varje större kvartalsvis baslinje, inte efter att utrullningen redan har påbörjats.
