KB5041587 适用于 Windows 11 22H2 和 23H2，具有文件资源管理器改进等功能

本月 Windows 11 版本 22H2 和 23H2 的非安全更新现已发布，编号为 KB5041587，内部版本为 22621.4112 和 22631.4112。与往常一样，这是一个可选更新（技术上是预览版），因此请随意跳过它，除非您需要以下更改日志中的特定错误修复或新功能。

KB5041587 包含一些正在逐步推出的更改，因此您在安装更新后可能无法立即执行以下操作：

• [ Windows 共享] 新功能！您现在可以从 Windows 共享窗口将内容共享到您的 Android 设备。为此，您必须将您的 Android 设备与 Windows PC 配对。使用 Android 设备上的“链接至 Windows”应用和 PC 上的“手机链接”。
• [讲述人] 此更新使扫描模式响应更快。这在您使用 Microsoft Edge 并阅读大型文档时尤其有用。要使用扫描模式，您必须先打开讲述人（Windows 徽标键 + Ctrl + Enter）。然后在讲述人会话期间按 Caps Lock + 空格键打开扫描模式。
• [语音访问] 您现在可以以更快的速度口述拼写的字符。您还可以使用更多编辑选项来执行在文本内选择、删除和移动的命令。

[文件资源管理器]

• 当您按下 Windows 徽标键 + E 时，屏幕阅读器可能会说窗格具有焦点，或者可能根本没有设置焦点。
• 当您按下 Ctrl + F 时，有时搜索不会开始。
• 按下 Shift + Tab 时，键盘焦点有时可能会丢失。
• 当您打开或浏览“打开”或“保存”对话框中面包屑导航中的项目时，屏幕阅读器不会播报。
• 当您打开或浏览列标题中的项目时，屏幕阅读器不会播报。

[小部件板] 我们正在推出小部件板更新，以提高安全性和为 EEA 地区的用户创建小部件和源的 API。作为此更新的一部分，Microsoft Start Experiences 应用将为 Microsoft Start 小部件和源体验提供支持。此外，作为此更新的一部分，一些现有小部件将被删除，其他小部件将被修改，从而暂时影响其功能。此更新为即将推出的新小部件和其他正在开发的功能奠定了基础。

所有用户均可享受的其他更改包括：

• [输入法编辑器 (IME) ] 当组合框具有输入焦点时，关闭该窗口可能会发生内存泄漏。
• [国家和运营商设置资产] 此更新使某些移动运营商的 COSA 配置文件保持最新。
• [蓝牙] 当您部署某些蓝牙策略时，外部设备会失去连接。
• [绑定过滤器驱动程序] 当系统访问符号链接时，它可能会停止响应。
• [统一写入过滤器 (UWF) 和 Microsoft System Center Configuration Manager (SCCM) ] 由于 UWF 中出现死锁，重新启用 UWF 的 SCCM 任务失败。这会导致设备无法按预期重新启动。
• [休眠停止错误] 从休眠状态恢复后，笔记本电脑停止响应。如果您多次关闭和打开盖子，就会发生这种情况。
• [文件资源管理器] 当您浏览 shell 命名空间扩展中的文件夹时，导航窗格不会更新。
• [ Microsoft Entra 单点登录 (SSO) ] SSO 通知欧洲数字市场法案 (DMA) 要求提示过于频繁。当您使用证书进行身份验证时会发生这种情况。要了解更多信息，请参阅 Windows 单点登录即将发生的变化。
• [ Windows Hello for Business ] 当您在凭据屏幕上选择“我忘记了我的 PIN”链接时，PIN 重置不起作用。

至于已知的错误，只有一个关于损坏的双启动 Windows-Linux 配置：

安装此安全更新后，如果您在设备中启用了 Windows 和 Linux 的双启动设置，则可能会遇到启动 Linux 的问题。由于此问题，您的设备可能无法启动 Linux 并显示错误消息“验证 shim SBAT 数据失败：违反安全策略。出现严重错误：SBAT 自检失败：违反安全策略。”

2024 年 8 月的 Windows 安全更新将安全启动高级定位 (SBAT) 设置应用于运行 Windows 的设备，以阻止旧的、易受攻击的启动管理器。此 SBAT 更新不会应用于检测到双启动的设备。在某些设备上，双启动检测未检测到某些自定义的双启动方法，并在不应应用 SBAT 值时应用了该值。

解决方法：

禁用安全启动：

启动设备的固件设置。
​禁用安全启动（步骤因制造商而异）。
删除 SBAT 更新：

启动进入 Linux。
打开终端并运行以下命令：sudo mokutil --set-sbat-policy delete
如果出现提示，请输入您的 root 密码。
再次启动Linux。
验证 SBAT 撤销：

在终端中，运行以下命令：mokutil --list-sbat-revocations
确保列表中没有显示任何撤销。
重新启用安全启动：

重新启动进入固件设置。
重新启用安全启动。
检查安全启动状态：

启动 Linux。运行以下命令：mokutil --sb-state
输出应为“SecureBoot enabled”。如果不是，请重试步骤 4。
防止 Windows 中未来的 SBAT 更新：

启动进入 Windows。
以管理员身份打开命令提示符并运行：reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\SBAT /v OptOut /d 1 /t REG_DWORD
此时，您应该能够像以前一样启动 Linux 或 Windows。现在是安装任何待处理的 Linux 更新以确保系统安全的好时机。

您可以通过前往“设置”>“Windows 更新”并选中“在最新更新可用时立即获取”选项来下载 Windows 11 版本 22H2 和 23H2 的最新非安全更新。或者，使用此链接直接从 Microsoft 更新目录下载 KB5041587 。