Microsofts Patch Tuesday-uppdatering för Windows 10 i maj 2026, KB5087544, återspeglar den nuvarande verkligheten för plattformen. Nu är Windows 10 fast i sin Extended Security Updates-fas och utvecklas inte längre genom funktioner, men det säkras och underhålls fortfarande aktivt. Den här uppdateringen kombinerar en stor uppsättning sårbarhetsfixar med riktade ändringar av Remote Desktop och Secure Boot som avslöjar hur Microsoft skärper kontrollen över slutpunktens förtroende och stabilitet.
Uppdateringen höjer Windows 10-system till build 19045.7291 och 19044.7291 och distribueras till ESU- och LTSC-miljöer. Den fokuserar främst på säkerhets- och kvalitetsförbättringar, i linje med Microsofts strategi att underhålla operativsystemet snarare än att utöka det.
KB5087544 är en del av en bredare Patch Tuesday-release som adresserar cirka 120 sårbarheter i Microsoft-produkter. Dessa inkluderar ett betydande antal brister i fjärrkodsexekvering och privilegieeskalering, som båda förblir bland de farligaste kategorierna för företagssystem. Även utan offentligt avslöjade nolldagssårbarheter gör omfattningen av korrigeringar detta till en högprioriterad uppdatering. Många av de åtgärdade problemen påverkar kärnkomponenter som Windows-kärnan, DNS-klienten och Office-applikationer, som ofta är måltavlor i verkliga attacker. Detta förstärker ett välkänt mönster: angripare analyserar ofta Patch Tuesday-utgåvor för att utveckla exploateringar kort efter att korrigeringar har publicerats, vilket ökar brådskan för snabb distribution.
En av de synliga korrigeringarna i den här uppdateringen tar itu med ett problem med säkerhetsvarningar för fjärrskrivbord. Efter en tidigare uppdatering i april kunde varningsdialogrutorna visas felaktigt i miljöer med flera skärmar med blandad skärmskalning.
Vid första anblicken verkar detta vara ett mindre användbarhetsproblem. I praktiken rör det sig om en kritisk säkerhetsgräns. Fjärrskrivbord används ofta för administration och distansarbete, och dess varningsdialoger är en del av beslutsprocessen när anslutningar initieras. Om en säkerhetsprompt är feljusterad, delvis dold eller svår att interagera med kan användarna misstolka den eller ignorera den helt och hållet.
Att åtgärda det här problemet innebär inte att protokollet ändras eller att nya skydd läggs till, men det återställer tydligheten i en känslig interaktionspunkt. I miljöer där RDP är exponerat eller används flitigt kan även små inkonsekvenser i säkerhetsuppmaningar öka risken genom mänskliga misstag.
De mer strategiska ändringarna i KB5087544 är relaterade till Secure Boot. Microsoft har infört dynamisk statusrapportering i Windows Security-appen, vilket gör det möjligt för system att presentera tydligare och mer omedelbar information om Secure Boot-status.
Detta förbättrar synligheten för både användare och administratörer, särskilt i hanterade miljöer där skydd på firmware-nivå är kritiska. Istället för att förlita sig på separata verktyg eller indirekta kontroller blir Secure Boot-status en del av den vanliga säkerhetsbilden av systemet.
Ännu viktigare är att Microsoft har justerat hur nya Secure Boot-certifikat distribueras. Uppdateringen introducerar vad som beskrivs som "high-confidence device targeting", vilket innebär att certifikat endast levereras till system som uppvisar ett stabilt och tillförlitligt uppdateringsbeteende. Detta skapar en fasad utrullningsmodell som minskar risken för omfattande fel under certifikatövergångar.
Detta är särskilt relevant med tanke på att äldre Secure Boot-certifikat snart löper ut 2026, vilket kräver en noggrann övergång för att upprätthålla bootintegriteten. Istället för att skicka uppdateringar på ett enhetligt sätt tillämpar Microsoft en förtroendebaserad modell, där enheter måste uppfylla vissa kriterier innan de får känsliga ändringar i startkedjan.
Trots dessa förbättringar belyser ett känt problem i uppdateringen komplexiteten i moderna Windows-säkerhetskontroller. Vissa system kan uppmana användare att ange sin BitLocker-återställningsnyckel efter installation av de senaste uppdateringarna.
Detta beteende uppstår endast under specifika förhållanden som involverar BitLocker-grupppolicy, TPM-valideringsinställningar och inkludering av PCR7 i valideringsprofilen. När Secure Boot eller starthanterarens mätningar ändras som en del av uppdateringen kan BitLocker tolka detta som en potentiell säkerhetsrisk och kräva återställningsautentisering.
Ur en defensiv synvinkel är detta ett förväntat beteende. BitLocker är utformat för att reagera på förändringar i den tidiga startkedjan. I företagsmiljöer kan detta dock leda till driftstörningar om enheter plötsligt kräver återställningsnycklar som användarna inte har omedelbar tillgång till.
Problemet understryker en bredare utmaning. I takt med att Microsoft stärker integrationen mellan Secure Boot, TPM och kryptering blir systemet säkrare men också känsligare för felaktiga konfigurationer eller policyavvikelser.
KB5087544 illustrerar det nuvarande säkerhetsläget för Windows 10. Operativsystemet är stabilt, men det är inte statiskt. Microsoft fortsätter att förfina hur förtroende etableras och upprätthålls, särskilt på firmware- och startnivå.
Fixen för fjärrskrivbord visar att även problem med användargränssnittet kan ha säkerhetsimplikationer när de påverkar hur varningar uppfattas. Secure Boot-ändringarna visar på en utveckling mot mer intelligent och kontrollerad uppdateringsdistribution baserad på enhetens förtroendesignaler. BitLocker-problemet belyser de operativa risker som följer med djupt integrerade säkerhetskontroller.
För organisationer som fortfarande kör Windows 10 under ESU förstärker denna uppdatering behovet av disciplinerad patchhantering, noggrann granskning av grupppolicykonfigurationer och medvetenhet om hur olika säkerhetslager interagerar.
Windows 10 må vara i sin slutfas, men uppdateringar som KB5087544 gör det tydligt att upprätthållande av säkerhet nu beror mindre på nya funktioner och mer på att hantera komplexiteten i en alltmer sammankopplad förtroendemodell.
Om du är orolig för något av de hot som beskrivs i den här bulletinen eller behöver hjälp med att avgöra vilka åtgärder du bör vidta för att skydda dig mot de mest väsentliga hoten mot din organisation, kontakta din kontoansvarige, eller alternativt kontakta oss förattta reda på hur du kan skydda din organisation.