Le mardi 9 juin 2026, Microsoft a mis en ligne de nouvelles mises à jour cumulatives obligatoires pour les machines sous Windows Server. Quelles sont les nouveautés ? Voici l’essentiel à savoir !

• Windows 10 – Découvrir la mise à jour de juin 2026
• Windows 11 – Découvrir les mises à jour de juin 2026

Le point d’attention : l’expiration des certificats de démarrage sécurisé

Avant d’entrer dans le détail de la mise à jour destinée à chaque version de Windows Server, parlons une nouvelle fois du Secure Boot. Les certificats du Secure Boot expirent à compter de juin 2026, donc nous y sommes ! Depuis plusieurs mois, Microsoft a commencé à déployer de nouveaux certificats, mais ce sujet concerne l’ensemble de votre parc (postes de travail et serveurs).

L’occasion de rappeler que les appareils qui n’ont pas encore reçu les nouveaux certificats continueront de démarrer normalement, et les mises à jour Windows standards continueront de s’installer. Les certificats mis à jour continueront d’être distribués via Windows Update dans les mois à venir. Le risque étant surtout vis-à-vis de potentiels logiciels malveillants.

• Windows : anticiper la mise à jour des certificats Secure Boot

Windows Server 2025 – Les nouveautés de la KB5094125

La mise à jour pour Windows Server 2025 corrige plusieurs bugs et apporte une nouveauté.

• Secure Boot

Dans le prolongement de l’expiration des certificats évoquée plus haut, cette mise à jour permet d’élargir le périmètre de machines éligibles à recevoir automatiquement les nouveaux certificats (émis en 2023 par Microsoft). Comme c’est le cas depuis plusieurs mois, le déploiement reste progressif : un appareil ne reçoit les nouveaux certificats qu’après avoir démontré suffisamment de signaux de mise à jour réussis.

Cette mise à jour introduit aussi un nouveau paramètre de stratégie de groupe nommé LimitSecureBootRequiredServiceData, qui permet de limiter les données de service Secure Boot envoyées à Microsoft (télémétrie). Il est disponible sous : Configuration ordinateur > Modèles d’administration > Composants Windows > Secure Boot.

• Récupération BitLocker (problème connu corrigé)

Cette update résout un problème où certains appareils pouvaient basculer en récupération BitLocker après la mise à jour des fichiers de démarrage, sur des systèmes ayant certains paramètres de validation TPM (notamment des configurations PCR7 non valides). Ce comportement pouvait survenir après l’installation de la mise à jour d’avril 2026 (KB5082063).

• Personnalisation du dossier (desktop.ini)

La mise à jour introduit un renforcement de la sécurité dans la façon dont Windows traite les fichiers . Conséquence : certains utilisateurs peuvent constater la disparition des icônes de dossiers personnalisées ou des noms de dossiers localisés pour du contenu provenant d’Internet ou d’emplacements distants. À noter que l’accès aux dossiers lui-même n’est pas affecté. L’objectif étant de protéger les utilisateurs contre les fichiers malveillants.

Dans le cas où un fichier serait téléchargé, il doit être débloqué à l’aide de la commande PowerShell (ce qui supprime la balise MotW). Microsoft en parle plus en détail dans cet article de support. Sinon, l’icône n’apparaîtra pas correctement.

Attention, ces changements liés au Secure Boot et à la personnalisation des dossiers s’appliquent aussi aux autres versions de Windows Server.

En complément, cette mise à jour est à l’origine d’un ensemble de changements :

• DNS over HTTPS

Le serveur DNS de Windows Server 2025 prend désormais en charge le DNS sur HTTPS (DoH). Cela permet une communication DNS chiffrée entre le serveur et ses clients, ce qui renforce la confidentialité et la sécurité en protégeant les requêtes DNS, en particulier contre certaines attaques.

Cette fonctionnalité est désormais en disponibilité générale. À noter : cette prise en charge du DoH concerne uniquement la communication serveur-client, et non la communication chiffrée entre serveurs. Je reviendrai sur cette nouveauté dans un futur article.

• Fiabilité avec les sessions

Cette mise à jour améliore la fiabilité lors du chargement du profil utilisateur, en gérant plus efficacement les ressources système.

• Déploiement via WUSA (problème connu corrigé) :

Cette mise à jour règle un problème où les updates installées via le programme WUSA pouvaient échouer avec le code d’erreur . Ce souci pouvait se produire en double-cliquant sur un fichier .msu ou en exécutant WUSA depuis un partage réseau contenant plusieurs fichiers .msu. C’est un problème de longue date.

Windows Server 2022 – Les nouveautés de la KB5094128

La mise à jour du 9 juin 2026 (KB5094128) pour Windows Server 2022 intègre les changements transverses évoqués précédemment (Secure Boot, paramètre LimitSecureBootRequiredServiceData, recherche de l’Explorateur de fichiers et renforcement desktop.ini), ainsi qu’une modification au niveau de l’application Sécurité Windows. En effet, l’application Sécurité Windows contient désormais le statut du Secure Boot et ce dernier est mis à jour en temps réel afin d’afficher un état fiable.

À surveiller, un problème connu sur cette version : sur un nombre limité de systèmes présentant une configuration de stratégie de groupe BitLocker non recommandée (PCR7 inclus dans le profil de validation TPM, état de liaison PCR7 « Impossible », etc.), la saisie de la clé de récupération BitLocker peut être demandée au premier redémarrage suivant l’installation. C’est un problème qui n’est pas nouveau puisqu’il traîne depuis plusieurs mois.

Windows Server 2019 (KB5094123) et Windows Server 2016 (KB5094122)

Pour ces deux versions plus anciennes, Microsoft publie des mises à jour cumulatives orientées sécurité, nommées respectivement KB5094123 (Windows Server 2019) et KB5094122 (Windows Server 2016). Elles embarquent les changements communs à toutes les versions, notamment la partie Secure Boot et le hardening sur les fichiers desktop.ini, en plus des correctifs de sécurité du mois.

L’occasion de rappeler que le Patch Tuesday de juin 2026 contient des correctifs pour 200 vulnérabilités.

Récapitulatif des mises à jour Windows Server

Voici la liste des mises à jour cumulatives obligatoires publiées par Microsoft depuis début 2026.