微软发布了 2026 年 6 月 Windows 11 和 Windows 10 的动态更新
Win下载
微软针对 Windows 11 和 Windows 10 发布了 Safe OS 动态更新和安装程序动态更新(Setup Dynamic Update)。这些更新主要用于升级 Windows 恢复环境 (WinRE) 和安装文件。用户可以通过 Windows 更新中心自动安装,也可以通过 DISM 工具手动安装。
与 6 月的“补丁星期二”更新同步,微软发布了一套新的动态更新 —— Safe OS 动态更新和安装程序动态更新。所有更新包的发布日期均为 2026年6月9日。
动态更新是 Windows 安装程序的一种机制,它会在组件升级前或从介质安装系统的过程中,直接更新一小部分严格受限的文件。与累积更新不同,动态更新不会更改整个系统,而是仅替换安装程序和预启动恢复环境所需的文件。
用户可以从 Microsoft 更新目录获取 .CAB 格式的更新包。若要在当前系统中进行在线安装,需要连接互联网;在无网络访问的环境中,可以在启动安装前将更新包预先集成到镜像中。
动态更新可能包含以下几个类别的组件:
Setup(安装程序):安装程序在组件升级时使用的修复补丁和文件;
Safe OS(安全操作系统):用于更新 Windows 恢复环境 (WinRE) 的安全操作系统修复补丁;
Servicing Stack Update (SSU):完成组件升级所必需的服务堆栈更新;
Latest Cumulative Update (LCU):安装最新的质量累积更新;
Language Pack (LP) 和 Features on Demand (FOD):通过重新安装来保留已安装的语言包和按需功能组件;
Driver(驱动程序):制造商专门为动态更新发布的驱动程序。
借助这一机制,动态更新能够在系统升级过程中保留语言包和按需功能组件。例如,目前在 Windows 11 24H2 中,VBScript 就是作为按需功能 (FOD) 提供的。
在本次6月的发布中,包含了两个类别的更新:
Safe OS 动态更新:用于更新 Windows 恢复环境 (WinRE);
安装程序动态更新 (Setup Dynamic Update):用于更新 Windows 安装程序的二进制文件及相关文件。
Windows 恢复环境 (WinRE) 运行于预启动环境中,独立于已启动的系统,主要用于重置电脑、启动修复、回滚失败的更新、访问命令提示符、从镜像恢复以及 BitLocker 恢复等场景。Safe OS 更新能够确保这些恢复机制保持最新状态,这对于应对系统故障和更新失败至关重要。
本次发布的 KB5094149 更新包取代了此前发布的 KB5096038 包(发布于 2026年5月26日)。这些更新中的 WinRE 版本号与对应版本 Windows 的6月累积更新的内部版本号一致。
安装程序动态更新旨在统一安装程序二进制文件的版本,从而减少因文件版本不匹配导致的组件升级失败。不过,微软指出,某些 Safe OS 动态更新包一旦集成到镜像中便无法卸载,因此建议在大规模部署前,先在单独的测试镜像上进行验证。
与安全启动证书的关系
在 KB5094149 的支持页面上,微软提到,大多数 Windows 设备所使用的安全启动(Secure Boot)证书将从 2026年6月起开始过期。公司正在为消费级和商业级设备更新这些证书。即使没有更新证书的设备,也将继续正常启动并以常规方式接收 Windows 更新。
通过 Windows 更新中心进行安装
Safe OS 动态更新和安装程序动态更新会通过 Windows 更新中心自动下载并安装。在大多数情况下,无需人工干预。
对于普通用户而言,这意味着这些更新包通常是“无感”的 —— 用户只能在更新历史记录中或通过查看恢复环境的版本号来发现它们。单独下载通常仅在准备安装镜像或企业部署环境中才需要。
您也可以从 Microsoft 更新目录下载更新包(.CAB 格式),并按照以下说明将其用于自定义镜像或 Windows 11 版本的部署:
如何手动安装 Safe OS 动态更新 (.CAB)
手动安装主要用于更新 Windows 恢复环境 (WinRE)、准备安装镜像以及企业部署环境。
在以下命令中,update.cab 仅作为更新包名称的示例。在实际操作中,您需要将其替换为从 Microsoft 更新目录下载的实际文件名,例如:
windows11.0-kb5094149-x64_1bd08a8e369f32bb5c28e41f4699675a88ae5499.cab
windows11.0-kb5094156-x64_b4dd7094af301e17052207b1c283986f99ec26e5.cab
windows10.0-kb5094154-x64_5e7089620bf78d1996a434fd118db6560a0a0f2f.cab
Safe OS 动态更新以 .CAB 文件的形式分发,包含 Windows 安装和恢复环境的更新。它们可以更新 Windows 恢复环境 (WinRE)、Windows Setup 和 WinPE 组件。
如有需要,可以手动安装此类更新 —— 例如,用于更新恢复环境或将其集成到 Windows 安装镜像中。
1. 在当前系统中安装更新
如果该更新包适用于当前已安装的系统,可以使用 DISM 工具进行安装。
以管理员身份打开命令提示符,并执行以下命令:
dism /online /add-package /packagepath:C:\Updates\update.cab
安装完成后,建议重启计算机。
2. 更新 Windows 恢复环境 (WinRE)
Safe OS 动态更新可能包含针对 Windows 恢复环境的更新。在这种情况下,更新将应用于 winre.wim 文件。
首先,获取恢复环境的位置:
reagentc /info
禁用 WinRE:
reagentc /disable
将 winre.wim 文件从 Recovery 分区(路径可通过上述命令获取)复制到工作文件夹,例如:
C:\WinRE\winre.wim
挂载镜像:
dism /mount-wim /wimfile:C:\WinRE\winre.wim /index:1 /mountdir:C:\Mount
安装更新:
dism /image:C:\Mount /add-package /packagepath:C:\Updates\update.cab
保存更改:
dism /unmount-wim /mountdir:C:\Mount /commit
将更新后的文件复制回 Recovery 文件夹,并重新启用恢复环境:
reagentc /enable
3. 将更新集成到 Windows 安装镜像中
可以将 Safe OS 动态更新集成到 Windows 安装镜像中,以便在系统安装前就更新安装环境和恢复环境。
将 Windows ISO 镜像的内容复制到工作文件夹,例如 C:\ISO。
挂载安装环境镜像(boot.wim,索引 1):
dism /mount-wim /wimfile:C:\ISO\sources\boot.wim /index:1 /mountdir:C:\Mount
添加更新:
dism /image:C:\Mount /add-package /packagepath:C:\Updates\update.cab
保存更改:
dism /unmount-wim /mountdir:C:\Mount /commit
随后,对 boot.wim 的第二个索引(Windows Setup 安装环境)重复上述操作:
dism /mount-wim /wimfile:C:\ISO\sources\boot.wim /index:2 /mountdir:C:\Mount
dism /image:C:\Mount /add-package /packagepath:C:\Updates\update.cab
dism /unmount-wim /mountdir:C:\Mount /commit
4. 创建更新后的 ISO 镜像
集成更新后,可以使用 Windows ADK 工具集中的 oscdimg 实用程序创建新的安装 ISO 镜像:
oscdimg -m -u2 -udfver102 -lWIN11 -bootdata:2#p0,e,bC:\ISO\boot\etfsboot.com#pEF,e,bC:\ISO\efi\microsoft\boot\efisys.bin C:\ISO C:\Windows11_Updated.iso
生成的镜像可用于安装 Windows 或制作可引导的 U盘/光盘。
5. 在企业部署环境中的使用
在企业部署环境中,Safe OS 动态更新的 CAB 包可用于更新 Windows 安装镜像和部署环境,包括:
Windows 部署服务 (WDS);
Microsoft 部署工具包 (MDT);
Configuration Manager (MECM);
自定义的 Windows WIM 镜像。
集成此类更新可以在向用户设备部署系统之前,提前更新 Windows 的安装和恢复环境。
