五月的补丁星期二活动如期到来,微软面向仍在支持周期内的 Windows 10 设备发布了扩展安全更新 KB5087544。对于已加入扩展安全更新(ESU)计划的设备,安装此更新后系统版本将升级至 Build 19045.7291;而 Windows 10 Enterprise LTSC 2021 版本则会更新至 Build 19044.7291。
需要明确的是,Windows 10 系统已进入仅接收安全维护的阶段,因此本次更新不包含任何新功能,其核心目标就是修复安全漏洞并解决已知问题。
从安全层面评估,这次累积更新的重要性不容忽视。根据官方发布的更新日志,微软总计修复了多达120个安全漏洞。虽然本次未涉及零日漏洞,但漏洞类型的分布情况值得用户关注:
- 61个权限提升漏洞
- 6个安全功能绕过漏洞
- 31个远程代码执行漏洞
- 14个信息泄露漏洞
- 8个拒绝服务漏洞
- 13个欺骗漏洞
其中,被微软标记为“关键”级别的漏洞有17个,而远程代码执行漏洞就占据了14个,这无疑是本次安全更新需要重点防范的核心风险。

在功能修复方面,本次更新主要解决了一个由四月份安全更新引入的问题。具体表现为,当用户在多显示器环境下工作,且各显示器缩放比例设置不一致时,打开 .rdp 文件后,远程桌面的安全警告对话框可能出现显示异常。这个问题虽然不影响核心功能,但对于依赖远程桌面进行办公和企业运维的用户而言,确实会干扰正常使用体验。
此外,本次更新还对 Windows 安全应用进行了优化,使其能够动态显示 Secure Boot(安全启动)的安全状态。这一改进也为后续自动接收新的 Secure Boot 证书奠定了基础,有助于进一步扩大系统的安全保护范围。
然而,用户也需注意此次更新可能带来的风险。微软在更新说明中特别发出警告:安装近期更新后,部分特定配置的设备可能会在启动时意外触发 BitLocker 恢复流程,要求用户输入恢复密钥。
受影响的设备通常满足一组特定条件:其 BitLocker 组策略配置中,TPM 验证包含了 PCR7 测量值,并且同时满足了与新版 Windows UEFI CA 2023 证书相关的 Secure Boot 及启动管理器条件。如果您的设备符合上述描述,就需要提前做好应对准备。
微软给出的临时处理办法
目前,微软提供的临时解决方案是:删除受影响的特定组策略设置,然后先暂停再重新启用 BitLocker 保护,以此重新生成默认的 PCR 绑定。至于一劳永逸的永久修复方案,微软表示仍在积极准备中,后续将通过更新发布。
