🔧Обновления (Safe OS) для среды восстановления Windows 11: KB5070186 и KB5069341 | Полный разбор + инструкции.

Это не обычные патчи — это динамические обновления Safe OS, которые улучшают среду восстановления (WinRE) и готовят твои системы к критическому изменению в экосистеме Windows: истечению сертификатов Secure Boot в июне 2026 года. Без этих обновлений компьютеры могут остаться без защищённой загрузки и перестать получать патчи безопасности для загрузчика Windows.​

Что такое Safe OS Dynamic Update и зачем он нужен

Safe OS Dynamic Update — это специализированный тип обновлений, которые не применяются к работающей ОС напрямую. Они предназначены для среды восстановления Windows (WinRE) — минимального загрузочного окружения, которое используется для диагностики, восстановления системы, сброса к заводским настройкам и автоматического ремонта Windows после критических сбоев.​

WinRE — это не просто инструмент восстановления. Это изолированная загружаемая среда, сжатая в файл winre.wim, которая развёртывается в оперативной памяти с RAM-диска. Это значит, что любые изменения в WinRE не сохраняются после перезагрузки — среда всегда загружается из неизменного образа. Именно поэтому обновления WinRE нужно интегрировать заранее, а не применять во время работы.​

Какие проблемы решают KB5070186 и KB5069341?

✅ Обновление компонентов загрузчика: улучшаются файлы bootmgr.efi, SecureBootRecovery.efi и модули загрузки для обработки новых сертификатов Secure Boot 2023 года.​

✅ Подготовка к истечению сертификатов: начиная с июня 2026 года, старые сертификаты CA 2011 года перестанут действовать, и без обновления WinRE система не сможет применять патчи безопасности для Boot Manager.​

✅ Исправление уязвимостей: Safe OS обновления закрывают бреши в загрузчике и recovery-окружении, которые могут использоваться для атак на этапе предзагрузки (например, Black Lotus bootkit — CVE-2023-24932).​

✅ Совместимость с новым железом и драйверами: обновляются сетевые драйверы, модули BitLocker и компоненты Setup для корректной работы на новейших платформах.​

Для каких версий Windows эти обновления актуальны?

Microsoft выпустила два обновления, которые охватывают разные версии Windows 11:​

KB5070186

Поддерживаемые системы: Windows 11 24H2, 25H2, Windows Server 2025

Дата выпуска: 11 ноября 2025

Размер обновления:

x64 — примерно 34.9 МБ

ARM64 — примерно 34.9 МБ

KB5069341

Поддерживаемые системы: Windows 11 23H2 (Home, Pro)

Дата выпуска: 11 ноября 2025

Размер обновления:

x64 — примерно 26.3 МБ

ARM64 — примерно 39.0 МБ

⚠️ Важный момент: Windows 11 версии 23H2 для Home и Pro редакций вышла из поддержки 11 ноября 2025 года. Это значит, что KB5069341 — последнее обновление безопасности для 23H2 Home/Pro. Microsoft начнёт принудительно обновлять пользователей до версии 25H2. Enterprise и Education получат поддержку 23H2 до ноября 2026 года.​

Версия 24H2 vs 25H2: в чём разница?

Windows 11 24H2 и 25H2 используют один и тот же исходный код. Версия 25H2 — это, по сути, 24H2 с активированными дополнительными функциями через enablement package. С точки зрения обновлений Safe OS, KB5070186 применяется к обеим версиям одинаково.​

Основные отличия 25H2 от 24H2:​

• Улучшенные алгоритмы планировщика задач и управления памятью
• Kernel Isolation включён по умолчанию (в 24H2 был опциональным)
• Небольшие улучшения UI и навигации
• Расширенная поддержка AI-функций

Практический вывод: если ты обновляешь машины с 24H2 до 25H2, обновление Safe OS уже будет применено, если ты установил KB5070186 на 24H2.

Механика работы Safe OS Dynamic Update

Динамические обновления Safe OS работают не так, как обычные накопительные обновления. Они применяются на этапе подготовки к обновлению ОС или интегрируются в установочные образы.​

Когда применяется Safe OS?

1. Во время feature update (обновление версии Windows, например с 23H2 до 24H2): Setup.exe скачивает последние Dynamic Updates с серверов Microsoft и применяет их к WinRE перед началом обновления.​
2. Через Windows Update автоматически: обновления Safe OS загружаются и устанавливаются в фоновом режиме вместе с ежемесячными патчами.​
3. Вручную через WSUS/SCCM: в корпоративных средах можно развернуть Safe OS через Windows Server Update Services или Configuration Manager.​
4. Интеграция в офлайн-образы: системные администраторы могут вручную интегрировать Safe OS в установочные ISO или WIM-образы с помощью DISM.​

Архитектура WinRE и место Safe OS

WinRE размещается в отдельном разделе восстановления (Recovery Partition) на диске, обычно в конце разметки. Этот раздел:​

• Имеет GUID типа DE94BBA4-06D1-4D40-A16A-BFD50179D6AC
• Минимальный размер: 300 МБ, рекомендуемый: 500-700 МБ​
• Должен иметь не менее 200 МБ свободного места для обновлений (Windows 10 2004+)​

Проблема с размером раздела: многие компьютеры, выпущенные до 2023 года, имеют раздел WinRE размером 450-500 МБ, чего может быть недостаточно для установки новых Safe OS обновлений. Microsoft выпустила инструкции по расширению раздела восстановления (KB5028997).​​

Пошаговая установка KB5070186 и KB5069341

Метод 1: Автоматическая установка через Windows Update (для обычных пользователей и небольших сред)

✅ Самый простой способ — обновления Safe OS устанавливаются автоматически вместе с ежемесячными патчами.

Шаги:

1. Открой Параметры → Центр обновления Windows
2. Нажми Проверить наличие обновлений
3. Safe OS обновления загрузятся и установятся в фоне
4. Перезагрузка не требуется после установки Safe OS​

⚠️ Внимание: обновление невозможно удалить после установки.​

Метод 2: Ручная установка через Microsoft Update Catalog

Если автоматическое обновление не сработало или нужно установить патч офлайн:

Шаг 1: Скачай нужный CAB-файл

Перейди на Microsoft Update Catalog и найди:

• KB5070186 для Windows 11 24H2/25H2/Server 2025​
• KB5069341 для Windows 11 23H2​

Выбери версию для своей архитектуры (x64 или ARM64) и нажми Download.​

Шаг 2: Установи CAB-файл через DISM

Открой командную строку от имени администратора и выполни:

DISM.exe /Online /Add-Package /PackagePath:"C:\Updates\windows10.0-kb5070186-x64.cab"

Где C:\Updates\ — путь к скачанному CAB-файлу.​

Шаг 3: Проверь версию WinRE после установки

Microsoft предоставляет PowerShell-скрипт GetWinReVersion.ps1 для проверки версии WinRE.​

Сохрани следующий код в файл GetWinReVersion.ps1:

# Функция для получения версии WinRE

function GetWinREVersion {

$mountedPath = GetMountDir

$filePath = "$mountedPath\Windows\System32\winpeshl.exe"

$WinREVersion = (Get-Item $filePath).VersionInfo.FileVersionRaw.Revision

return [int]$WinREVersion

}

# Основное выполнение

$WinREPath = GetWinREPath

$TempDir = GetMountDir

# Получить разрешения на чтение и запись для директории

if (-not (Test-Path $TempDir)) {

New-Item -ItemType Directory -Path $TempDir -Force | Out-Null

}

# Монтирование WinRE.wim

Dism /Mount-Wim /WimFile:$WinREPath /index:1 /MountDir:$TempDir

# Получить версию WinRE

$version = GetWinREVersion

Write-Host "Установленная версия WinRE: $version"

# Размонтирование

Dism /Unmount-Wim /MountDir:$TempDir /Discard

Remove-Item -Path $TempDir -Force -Recurse

Запусти скрипт от имени администратора:

.\GetWinReVersion.ps1

Ожидаемые версии WinRE после установки:​

• KB5070186: 10.0.26100.7149 (для 24H2/25H2)
• KB5069341: 10.0.22631.6199 (для 23H2)

🔖Дорогие гости и подписчики канала. Если наши материалы приносят вам пользу, вы всегда можете поддержать команду символическим переводом. Любая помощь мотивирует писать для Вас больше полезного и качественного контента безо всяких подписок.🙏🤝🙏🤝🙏

💰ПОДДЕРЖАТЬ КАНАЛ МОЖНО ТУТ ( ОТ 50 РУБЛЕЙ )💰

Или сделать любой перевод по QR-коду через СБП. Быстро, безопасно и без комиссии.(Александр Г.)

С уважением, Команда "Т.Е.Х.Н.О Windows & Linux".

Метод 3: Интеграция в офлайн-образ (для массового развёртывания)

Если ты создаёшь кастомные установочные образы для массового развёртывания, интегрируй Safe OS напрямую в install.wim.​

Подготовка:

1. Создай рабочие папки: C:\ISO, C:\Mount, C:\Updates
2. Скопируй содержимое ISO-образа Windows 11 в C:\ISO
3. Скопируй CAB-файл KB5070186 в C:\Updates

Шаг 1: Смонтируй install.wim

DISM /Mount-Wim /WimFile:C:\ISO\sources\install.wim /index:1 /MountDir:C:\Mount

Где /index:1 — индекс редакции (1 = Home, 5 = Pro, 6 = Enterprise). Проверь индексы командой:

DISM /Get-ImageInfo /ImageFile:C:\ISO\sources\install.wim

Шаг 2: Извлеки и смонтируй WinRE.wim

WinRE.wim находится внутри смонтированного образа:

attrib -h -a -s C:\Mount\Windows\System32\Recovery\winre.wim

md C:\Mount_WinRE

DISM /Mount-Wim /WimFile:C:\Mount\Windows\System32\Recovery\winre.wim /index:1 /MountDir:C:\Mount_WinRE

Шаг 3: Интегрируй Safe OS в WinRE

DISM /Image:C:\Mount_WinRE /Add-Package /PackagePath:C:\Updates\windows10.0-kb5070186-x64.cab

Шаг 4: Очисти образ и размонтируй

DISM /Image:C:\Mount_WinRE /Cleanup-Image /StartComponentCleanup /ResetBase

DISM /Unmount-Wim /MountDir:C:\Mount_WinRE /Commit

DISM /Unmount-Wim /MountDir:C:\Mount /Commit

Шаг 5: Создай новый ISO

Используй oscdimg из Windows ADK:

oscdimg -m -u2 -udfver102 -lWIN11 -bootdata:2#p0,e,bC:\ISO\boot\etfsboot.com#pEF,e,bC:\ISO\efi\microsoft\boot\efisys.bin C:\ISO C:\Updated_Win11.iso

Теперь у тебя есть обновлённый установочный образ с интегрированным Safe OS.​

Метод 4: Развёртывание через WSUS/SCCM (корпоративные среды)

Для управляемых корпоративных сред Safe OS автоматически синхронизируется с WSUS.​

Настройка WSUS:

1. Открой консоль WSUS → Параметры → Продукты и классификации
2. Убедись, что выбраны:
3. Products: Windows 11, Windows Server 2025
4. Classifications: Critical Updates, Safe OS Dynamic Update​
5. Запусти синхронизацию WSUS
6. Одобри KB5070186/KB5069341 для нужных групп компьютеров

Развёртывание через SCCM:

1. Создай Software Update Group с обновлениями Safe OS
2. Настрой Automatic Deployment Rule для автоматического развёртывания
3. Мониторь установку через логи UpdatesDeployment.log и Wuahandler.log​

Практические советы и особенности применения

🔐 BitLocker и Safe OS: нужно ли приостанавливать защиту?

Короткий ответ: Нет, для обновлений Safe OS не нужно приостанавливать BitLocker.​

BitLocker нужно отключать только для:

• Обновлений BIOS/firmware​
• Обновлений TPM firmware​
• Изменений в Secure Boot настройках​

Для обычных обновлений Windows и Safe OS BitLocker не мешает. Windows Update корректно обрабатывает перезагрузки и не требует восстановления ключа.​

Как приостановить BitLocker (если всё-таки нужно):

Через PowerShell:

Suspend-BitLocker -MountPoint "C:" -RebootCount 1

Через GUI:

Панель управления → BitLocker Drive Encryption → Приостановить защиту.​

Параметр -RebootCount 1 автоматически возобновит BitLocker после одной перезагрузки.​

🚀 Производительность: влияет ли Safe OS на скорость системы?

Хорошая новость: Safe OS обновления не влияют на производительность работающей ОС. Они загружаются только в WinRE, которая используется редко — при восстановлении или сбросе системы.​

Единственный заметный эффект:

• Первая загрузка WinRE после обновления может занять на 5-10 секунд дольше из-за первичной распаковки обновлённых компонентов.​
• Размер раздела восстановления увеличится на 30-40 МБ.​

На практике, если у тебя SSD и достаточно места в разделе WinRE, ты не заметишь разницы.

⚙️ Проверка статуса WinRE и устранение типичных проблем

Проверить, включён ли WinRE:

reagentc /info

Вывод покажет:

Windows RE status: Enabled

Windows RE location: \\?\GLOBALROOT\device\harddisk0\partition4\Recovery\WindowsRE

Включить WinRE (если отключён):

reagentc /disable

reagentc /enable

Типичные ошибки и их решения:

1. Ошибка: REAGENTC.EXE: Operation failed: 0x3
2. Причина: среда восстановления (WinRE) уже включена.
3. Решение: отключи её командой reagentc /disable, затем снова включи reagentc /enable.
4. Ошибка: Windows Recovery Environment servicing failed
5. Причина: недостаточно места в разделе WinRE.
6. Решение: увеличь размер раздела восстановления до 500–700 МБ. Подробности — в статье Microsoft KB5028997.
7. Ошибка: Unable to update Boot Configuration Data
8. Причина: раздел WinRE повреждён или отсутствует.
9. Решение: пересоздай раздел восстановления вручную, затем снова активируй его с помощью reagentc.
10. Ошибка: 0x80070490
11. Причина: повреждены системные файлы Windows.
12. Решение: выполни команды:
13. sfc /scannow
14. dism /Online /Cleanup-Image /RestoreHealth

Если WinRE.wim отсутствует:

Извлеки его из установочного ISO:

DISM /Mount-Wim /WimFile:X:\sources\install.wim /index:1 /MountDir:C:\mount

COPY C:\mount\Windows\System32\Recovery\winre.wim C:\Recovery\WindowsRE

DISM /Unmount-Wim /MountDir:C:\mount /Commit

reagentc /disable

reagentc /setreimage /path C:\Recovery\WindowsRE

reagentc /enable

Где X:\ — буква смонтированного ISO.​

📊 Мониторинг установки Safe OS через Event Viewer

После установки Safe OS обновления Windows записывает события в журнал:

Путь: Event Viewer → Windows Logs → System

Фильтр: Источник = WinREAgent, Event ID = 4501

Успешное обновление выглядит так:

Servicing succeeded. The Windows Recovery Environment version is now: 10.0.26100.7149

Если видишь ошибки с WinREAgent, это может указывать на проблемы с разделом восстановления или недостатком места.​

Безопасность и откат изменений

Можно ли откатить Safe OS обновление?

Нет, Microsoft явно указывает: обновления Safe OS нельзя удалить. Это сделано намеренно, чтобы предотвратить откат защищённых компонентов загрузки, что могло бы создать уязвимость (rollback attack).​

Что делать, если после обновления WinRE не работает?

1. Используй резервную копию системы (если есть образ до обновления).​
2. Воспользуйся загрузочным USB с WinRE: создай заранее USB-диск восстановления через Параметры → Восстановление → Создать диск восстановления.​
3. Загрузись с установочного ISO Windows 11 и запусти Восстановление при загрузке.​

Пример реальной проблемы: В октябре 2025 года Microsoft выпустила обновление KB5066835, которое сломало работу USB-клавиатур и мышей в WinRE. Пользователи не могли выбрать параметры восстановления. Microsoft выпустила экстренное исправление KB5070773 через неделю.​

Временные решения (если USB-устройства не работают в WinRE):

• Используй сенсорный экран (если есть)​
• Подключи PS/2 клавиатуру/мышь​
• Загрузись с USB-диска восстановления, созданного до обновления​

Блокировка отката компонентов VBS и Secure Boot

Начиная с Windows 11 24H2, Microsoft внедрила Dynamic Root of Trust for Measurement (DRTM), которая предотвращает откат защищённых компонентов VBS (Virtualization-based Security).​

Что это значит:

• Если злоумышленник попытается откатить загрузочные файлы к уязвимым версиям, система не загрузится.​
• Если ты применил UEFI Lock (SkuSiPolicy.p7b), даже переформатирование диска не удалит защиту — потребуется отключить Secure Boot в BIOS.​

Рекомендация: перед применением политик блокировки отката обязательно обнови WinRE до последней версии Safe OS (KB5070186/KB5069341).​

Подготовка к истечению сертификатов Secure Boot (июнь 2026)

Почему это критично?

Secure Boot сертификаты, выпущенные Microsoft в 2011 году, истекают в июне 2026 года. Без обновлённых сертификатов:​

• Системы не смогут получать обновления Boot Manager​
• Прекратится поддержка драйверов сторонних производителей, подписанных старыми сертификатами​
• Bootkit-атаки (например, Black Lotus) станут проще, так как компоненты загрузки останутся незащищёнными​

Какие сертификаты меняются?

В 2023 году Microsoft обновила свои сертификаты для Secure Boot по нескольким причинам:

1. Повышение безопасности: новые сертификаты используют более современные алгоритмы шифрования (например, RSA-2048 и более сильные хэш-функции), что затрудняет подделку и атаки на цепочку доверия.
2. Обновление цепочки доверия: устаревшие сертификаты 2011 года начали устаревать, их сроки истекают или они могут стать уязвимы. Новые сертификаты позволяют обеспечить надежную проверку подписи при запуске современных устройств, особенно на новых платформах.
3. Поддержка новых технологий: новые сертификаты включают подписи для драйверов, Option ROM, а также для системы загрузки Windows на UEFI-совместимых системах. Это обеспечивает совместимость с последними стандартами безопасности.
4. Соответствие стандартам и требованиям: изменения связаны с обновлением стандартов UEFI и Secure Boot, а также с требованием внедрения более строгих мер защиты для защиты системы от низкоуровневых атак.

Обновление сертификатов — часть постоянных усилий Microsoft по укреплению платформы Windows и защите системы на этапе загрузки. Это также помогает предотвратить использование устаревших сертификатов злоумышленниками или в области уязвимых системных компонентов.

Канал «Каморка Программиста» — это простые разборы программирования, языков, фреймворков и веб-дизайна. Всё для новичков и практиков.

Присоединяйся прямо сейчас.

Что нужно сделать сейчас?

✅ Установи KB5070186/KB5069341 на все машины — это первый шаг подготовки.​

✅ Проверь, включён ли Secure Boot:

• Нажми Win+R, введи msinfo32
• Найди параметр Secure Boot State
• Если написано On — всё в порядке​

✅ Не отключай Secure Boot: переключение его on/off может сбросить обновлённые сертификаты.​

✅ Обнови BIOS/firmware (если производитель выпустил обновления с новыми сертификатами).​

✅ Для старых видеокарт NVIDIA: проверь совместимость Option ROM с новыми сертификатами — карты с GOP, подписанным до 2023 года, могут перестать работать после истечения сертификатов.​

График действий Microsoft:​

• Ноябрь 2025: выпуск Safe OS с поддержкой новых сертификатов (уже произошло — KB5070186/KB5069341)
• Декабрь 2025 — май 2026: постепенное развёртывание обновлённых сертификатов через Windows Update
• Июнь 2026: истечение старых сертификатов — системы без обновлений перестанут получать патчи загрузчика

Чек-лист применения Safe OS обновлений

📋 Перед установкой:

• Проверь версию Windows: winver (должна быть 23H2, 24H2 или 25H2)
• Убедись, что WinRE включён: reagentc /info
• Проверь размер раздела восстановления: минимум 500 МБ с 200 МБ свободного места
• Создай резервную копию системы (на всякий случай)
• Проверь доступное место на диске: Safe OS занимает ~35 МБ

📋 Установка:

• Автоматически через Windows Update (рекомендуется)
• Вручную через CAB-файл с Microsoft Update Catalog (для офлайн-машин)
• Интеграция в образ установки (для массового развёртывания)
• Развёртывание через WSUS/SCCM (корпоративные среды)

📋 После установки:

• Проверь версию WinRE через PowerShell-скрипт GetWinReVersion.ps1
• Проверь Event Viewer: WinREAgent Event ID 4501 должен показать успешную установку
• Убедись, что Secure Boot остался включённым: msinfo32
• Протестируй WinRE: перезагрузи в режим восстановления и убедись, что всё работает
• Задокументируй версию WinRE для мониторинга

Safe OS (Secure WinRE Update) — вопросы и ответы

• Нужно ли перезагружать компьютер после установки Safe OS?
• Нет, перезагрузка не требуется. Safe OS применяется к разделу WinRE, который не используется в работающей операционной системе.
• Можно ли удалить обновление Safe OS, если что-то пошло не так?
• Нет. Microsoft запрещает удаление Safe OS-обновлений, чтобы предотвратить rollback-атаки на загрузчик Windows.
• Что делать, если раздел WinRE слишком мал для установки обновления?
• Необходимо расширить раздел восстановления до 500–700 МБ.
• Microsoft опубликовала официальные инструкции в статье KB5028997.
• Там же доступен автоматизированный PowerShell-скрипт для облегчения процесса.
• Работает ли Safe OS на ARM64-системах (например, Snapdragon X Elite)?
• Да, Safe OS поддерживается на ARM64.
• Размер обновлений:
• KB5070186 — около 34.9 МБ
• KB5069341 — около 39 МБ
• Как проверить, что Safe OS установился корректно?
• Используйте PowerShell-скрипт GetWinReVersion.ps1
• или откройте Event Viewer → System → WinREAgent, найдите Event ID 4501.
• Версия WinRE должна обновиться до:
• 10.0.26100.7149 — для сборок 24H2/25H2
• 10.0.22631.6199 — для сборок 23H2
• Нужно ли устанавливать Safe OS на виртуальные машины Hyper-V?
• Да, рекомендуется.
• Виртуальные машины также используют WinRE и Secure Boot, особенно при включённом vTPM (виртуальном TPM).
• Что произойдёт, если не установить Safe OS до июня 2026 года?
• Система перестанет получать обновления безопасности для загрузчика и среды восстановления Windows (WinRE).
• Это создаст уязвимость для bootkit-атак и может привести к проблемам с загрузкой после обновления сертификатов Secure Boot.

Выводы

Динамические обновления Safe OS (KB5070186 и KB5069341) — это не просто очередные патчи, а критическая подготовка к смене инфраструктуры Secure Boot. Без них твои системы останутся без защиты загрузчика после июня 2026 года, когда истекут старые сертификаты Microsoft CA 2011.

Что ты узнал из этой статьи:

• Safe OS обновления улучшают WinRE и обновляют компоненты загрузки для поддержки новых сертификатов
• KB5070186 для Windows 11 24H2/25H2/Server 2025, KB5069341 для 23H2 (последнее обновление для Home/Pro)
• Установка возможна автоматически через Windows Update, вручную через CAB-файл или интеграцией в образ
• Safe OS нельзя удалить, BitLocker приостанавливать не нужно, перезагрузка не требуется
• Проверяй версию WinRE через PowerShell-скрипт и Event Viewer
• Готовься к истечению сертификатов Secure Boot в июне 2026 — обновляй системы уже сейчас

Как применить это на практике:

1. Проверь все машины в домене на наличие KB5070186/KB5069341 через WSUS/SCCM
2. Интегрируй Safe OS в кастомные установочные образы для новых развёртываний
3. Расширь разделы WinRE на старых машинах (особенно 2021-2022 года выпуска)
4. Мониторь Event Viewer на предмет ошибок WinREAgent после обновления
5. Создай USB-диски восстановления для критичных серверов на случай сбоя WinRE

📢 Подпишись на канал "T.E.X.H.O Windows & Linux", чтобы не пропустить следующие разборы обновлений Windows, гайды по администрированию и практические советы для DevOps-инженеров. Делись статьёй с коллегами — знание о Safe OS поможет избежать проблем при обновлении до июня 2026.

#Windows11 #SafeOS #KB5070186 #KB5069341 #WinRE #DynamicUpdate #SecureBoot #MicrosoftUpdate #WindowsServer2025 #SystemAdministration #DevOps #BitLocker #DISM #WSUS #SCCM #WindowsRecovery #Администрирование #ОбновленияWindows #СистемнаяБезопасность #Windows24H2 #Windows25H2 #СреداВосстановления #UEFI #BootManager #ITинфраструктура #КорпоративныеСистемы #WindowsUpdate #СерверноеАдминистрирование #SecureBootCertificates #Технологии #ITбезопасность