Microsoft 正式釋出 Windows 11 KB5089549 累積更新,適用於 Windows 11 25H2 與 24H2 全版本。安裝後,Windows 11 25H2 會升級至 OS Build 26200.8457,Windows 11 24H2 則升級至 OS Build 26100.8457。這是一個強制性的 Patch Tuesday 安全更新,除了修補 2026 年 5 月安全漏洞,也整合了前一個月 optional preview 更新 KB5083631 的非安全性功能與品質改進。
CyberQ 也實測了這款更新,目前沒有太大的災情或問題。本次幾個關鍵則是 Secure Boot 憑證更新準備進入關鍵階段,Microsoft 再次提醒,多數 Windows 裝置使用的 Secure Boot 憑證將從 2026 年 6 月開始陸續到期,若裝置沒有及時取得新的憑證,可能影響安全開機能力。KB5089549 也加入更多高信心水準的裝置判斷資料,以擴大可自動接收新 Secure Boot 憑證的裝置覆蓋率,但仍採分階段推送,避免不相容韌體導致裝置無法正常啟動。
修正 April Update 後的 BitLocker Recovery 風險
KB5089549 最值得企業端關注的部分,是它修正了前一波 April 2026 安全更新 KB5083769 之後,部分裝置可能在更新 Boot Manager 或 Secure Boot 相關檔案後進入 BitLocker Recovery 的問題。Microsoft 官方說明指出,這類狀況主要發生在特定 TPM 驗證設定、PCR7 設定異常或 BitLocker 群組原則配置不建議的環境中,並非一般家用電腦常見情境。
Microsoft 在 KB5083631 的已知問題說明中提到,受影響裝置必須同時符合多個條件,例如作業系統磁碟啟用 BitLocker、群組原則將 PCR7 納入 TPM 驗證設定、msinfo32 顯示 PCR7 Binding 為 Not Possible,而且裝置已具備 Windows UEFI CA 2023 憑證但尚未使用 2023 簽署的 Windows Boot Manager。這代表問題主要落在受 IT 管理、且曾手動或透過 GPO 強化 BitLocker PCR 驗證設定的企業環境。
比較重要的是,KB5089549 並不是單純讓所有裝置都強制更新 Boot Manager,而是在發現不相容 BitLocker 設定時,會阻止該裝置安裝 2023 簽署的 Windows Boot Manager,若被阻擋,System event log 會出現 Event ID 1032,訊息指出 Secure Boot update Boot Manager 2023 因目前 BitLocker 設定不相容而未套用。Microsoft 建議企業端移除不建議的 PCR7 群組原則設定,讓裝置回到 Windows 預設的 PCR 設定檔,才能繼續取得最新 Secure Boot 防護。
從資安維運角度看,這次更新的意義不只是修 Bug,而是 Microsoft 正在為 Secure Boot 憑證世代轉換鋪路。企業若過去曾為了合規或端點強化而修改 BitLocker PCR profile,這波更新應該先在測試群組驗證,尤其要確認 msinfo32 的 PCR7 Binding 狀態、Event ID 1032 是否出現,以及 BitLocker Recovery Key 是否已妥善託管在 AD DS、Entra ID 或端點管理平台。
Xbox Mode 與 File Explorer 改善正式進入主線更新
KB5089549 也帶來一批 Windows 11 使用體驗改善,其中最受一般使用者注意的是 Xbox Mode。Microsoft 官方 KB5083631 說明指出,Xbox Mode 可在 Windows 11 PC、筆電、桌機與平板上提供類似 Xbox 主機的全螢幕介面,使用者可以從 Xbox App、Game Bar 設定,或按下 Windows + F11 進入此模式。這項功能會將遊戲置於介面中心,並降低背景干擾,較適合掌機、客廳 PC 或接電視使用的 Windows 遊戲裝置。
File Explorer 的修補也相當實用。這次更新擴充了檔案總管原生壓縮格式支援,新增 uu、cpio、xar 與 NuGet Packages nupkg 等格式,同時修正應用程式直接開啟 Downloads 或 Documents 等資料夾時,檢視與排序偏好設定可能被重設的問題。針對深色模式使用者,Microsoft 也修掉了開啟 This PC 或調整 Details pane 時可能出現白色閃爍的問題,並改善關閉檔案總管視窗後 explorer.exe 相關背景程序的結束可靠性。
這些改進對一般使用者看似只是 UI 與體驗微調,但對企業端來說,explorer.exe 穩定性與檔案總管行為一致性會直接影響 helpdesk 工單數量。Windows 11 近幾個版本長期被批評檔案總管反應不如 Windows 10,這次至少可以看成 Microsoft 正在逐步補足 Windows 11 現代化 UI 轉換過程中的效能與穩定性債務。
輸入、工作列、儲存與企業政策能力同步更新
KB5089549 也整合了更多周邊輸入與工作列功能。例如支援相容裝置的 haptic feedback 觸覺回饋,初期支援 Surface Slim Pen 2、ASUS Pen 3.0 與 MSI Pen 2,未來可透過硬體廠商韌體更新擴充至其他裝置,語音輸入則移除過去較干擾的全螢幕 overlay,改為在 dictation key 上顯示動畫。
工作列方面,Microsoft 新增 Agents on Taskbar 機制,讓長時間執行的 AI Agent 工作可以在工作列顯示進度。官方文件提到,第一個採用案例是 Microsoft 365 Copilot app 裡的 Researcher agent。這個方向值得注意,因為它代表 Windows 11 正在替未來的背景 AI 任務建立一套可監控、可回到 App、可通知完成的桌面層級互動模型。
儲存方面,這次更新改善 Settings > System > Storage > Advanced Storage Settings > Disks & Volumes 在大型磁碟或大容量 Volume 上讀取資訊的效能,並將命令列格式化 FAT32 的容量限制從 32GB 提高到 2TB。對 NAS、外接磁碟、嵌入式裝置或需要跨平台相容性的使用者來說,這項變更雖然不如安全修補吸睛,但實務價值不低。
企業管理面則包含幾個重要變化。Windows Driver Policy 更新後,Windows 核心對第三方驅動程式的信任模式會更嚴格,預設移除 cross-signed drivers 的信任,只允許通過 Windows Hardware Compatibility Program 的驅動與部分受信任舊版驅動。Windows 會先稽核至少 100 小時與三次重新開機,再啟用阻擋機制。這對仍仰賴舊版硬體、工控設備、特殊周邊或老舊資安代理程式的企業,需要特別留意。
此外,系統管理員與 Application Control for Business policy authors 現在可以透過 LockBatchFilesWhenInUse 控制 batch file 與 CMD script 執行期間的檔案變更行為。啟用後,可避免 batch file 在執行中被修改,降低攻擊者於腳本執行期間竄改內容的風險。
AI Components 也被更新,但只適用 Copilot+ PC
Microsoft 官方說明顯示,KB5089549 同步更新多個 AI Components,包括 Image Search、Content Extraction、Semantic Analysis 與 Settings Model,版本皆為 1.2604.515.0。不過官方也註明,這些 AI component updates 雖然包含在累積更新中,但只適用於 Windows Copilot+ PCs,不會安裝到一般 Windows PC 或 Windows Server。
這點在報導時要特別講清楚,避免讀者誤以為所有 Windows 11 裝置都會新增同樣的本機 AI 功能。更精準的說法是,KB5089549 為 Copilot+ PC 更新了部分本機 AI 組件,但對一般 x86 PC 而言,主要仍是安全修補、系統品質改善與部分逐步推送的 Windows 11 功能更新。
五月 Patch Tuesday 修補 120 項漏洞,未見零日漏洞
從整體 Microsoft Patch Tuesday 來看,BleepingComputer 統計指出,Microsoft 2026 年 5 月 Patch Tuesday 共修補 120 項漏洞,且本月沒有公開披露或已遭利用的 zero-day 漏洞,其中 17 項被列為 Critical,包含 14 項遠端程式碼執行、2 項權限提升與 1 項資訊洩露漏洞。
這代表 KB5089549 雖然有不少使用體驗更新,但從資安角度仍應視為例行但重要的安全更新。尤其是企業端若使用 Windows Update for Business、WSUS、Intune 或其他端點管理工具,仍建議依照既有 Ring Deployment 流程分批部署,而不是長時間延後。
下載與版本資訊:以 Microsoft 官方為準
要更新除了透過 Windows 本身的更新機制,重要的是管理員可以針對不同架構版本透過 Microsoft Update Catalog 下載,KB5089549 共有 4 個套件,分別對應 Windows 11 25H2/24H2 的 x64 與 arm64 架構。x64 套件大小約 5232.8 MB,arm64 約 4711.2 MB。Catalog 頁面也明確列出 25H2 對應 26200.8457、24H2 對應 26100.8457。
目前未見大規模翻車,但已有零星介面回報
截至目前查核,Microsoft 官方 KB5089549 頁面標示Microsoft is not currently aware of any issues with this update,也就是官方尚未列出 KB5089549 本身的新已知問題。
目前沒有看到大規模安裝失敗、藍畫面或企業端大面積 BitLocker Recovery 的集中回報。Reddit r/Windows11 的 May 12th Cumulative Updates 討論串主要是彙整官方更新資訊,並引導使用者透過 Feedback Hub 回報問題,r/sysadmin 的 Patch Tuesday Megathread 也仍屬於例行修補觀察討論,尚未形成明確且可歸因於 KB5089549 的重大災情。
目前較具體的一則回報來自 Reddit r/Windows11,有使用者指出 KB5089549 似乎讓新的 taskbar auto-hide 平滑動畫被停用,回到較舊、較卡頓的動畫行為。這類回報比較像是介面功能 flag 或 Controlled Feature Rollout 狀態變化,不宜直接解讀為嚴重系統災情,但可列入觀察。
至於 BitLocker 相關討論,這次 KB5089549 比較像是收斂 April 2026 更新引發的特定 BitLocker/PCR7 問題,而不是新增災情。若企業端仍遇到 BitLocker Recovery,應先檢查是否符合 Microsoft 描述的 PCR7、GPO 與 Secure Boot Boot Manager 條件,並查看 System event log 是否出現 Event ID 1032。
Secure Boot 世代轉換
CyberQ 認為,KB5089549 的真正重點不只在 Xbox Mode、File Explorer 或 FAT32 2TB 這些可見功能,而是在 Secure Boot 憑證更新、BitLocker PCR 驗證、第三方驅動信任政策與 batch file 執行保護等底層安全治理。這些變更共同指向一個趨勢:Windows 正在收緊開機鏈、驅動鏈與腳本執行鏈的信任邊界。
對一般使用者來說,KB5089549 可以視為建議安裝的安全更新,若使用的是遊戲掌機、Copilot+ PC 或深色模式下常用 File Explorer 的使用者,也可能感受到明顯體驗改善。對企業 IT 來說,建議先在測試環境中檢查三件事:第一,BitLocker Recovery Key 是否完整備份,第二,是否曾設定不建議的 PCR7 BitLocker GPO,第三,是否有老舊 cross-signed driver 依賴。這三件事比是否立即取得 Xbox Mode重要得多。
建議部署策略
CyberQ 建議,一般個人電腦可透過 Windows Update 正常安裝,但若裝置使用 BitLocker,仍建議先確認 Microsoft 帳戶、公司 Entra ID 或管理平台中可取得 Recovery Key。
企業端建議採用分批部署。第一批先投放 IT 測試機與少量非關鍵使用者,觀察 BitLocker、Secure Boot、VPN、EDR、列印、RDP 與特殊周邊驅動是否有異常。第二批再推向一般辦公端點,最後才推向財務、人資、OT 管理端、機房跳板機或特殊設備控制端。
若組織有自訂 BitLocker PCR profile,請優先依 Microsoft 建議檢查 Configure TPM platform validation profile for native UEFI firmware configurations 是否明確包含 PCR7,並以 msinfo32.exe 確認 PCR7 Binding 狀態。若看到 Event ID 1032,代表 Secure Boot Boot Manager 2023 更新因 BitLocker 設定不相容而未套用,這不是單純更新失敗,而是 Microsoft 為避免觸發 Recovery 所做的保護性阻擋。
整體而言,KB5089549 是一個應該部署、但企業不該無腦全推的更新。它修補安全漏洞,也改善 Windows 11 的使用體驗,但它同時碰到 Secure Boot、BitLocker、Driver Policy 這些低層級元件。越是成熟的環境,越應該把這次更新當成 Secure Boot 憑證更新週期前的演練。
