Guide til Windows 10 KB5069340, KB5068795 & KB5068790

Hvis du arbejder som IT administrator eller deploy-engineer og i særdeleshed arbejder med Windows 10 miljøer, så ved du, at de store kumulative opdateringer ofte får al opmærksomhed. Men denne gang er det de mere skjulte, men ikke mindre vigtige – opdateringer der kræver fokus: KB5069340, KB5068795 og KB5068790 fra Microsoft, udgivet 11. november 2025, som er målrettet henholdsvis Setup og Safe OS (WinRE) miljøet i Windows 10. I denne artikel gennemgår vi præcis hvad disse opdateringer gør, hvilke versioner de gælder for, hvordan du implementerer og ver­ificerer dem – alt med henblik på at sikre dine installationer, recovery flows og opgraderingsprocesser. Du kan både bruge dette som teknisk reference og som tjekliste før udrulning.

“Setup og Safe OS (WinRE)” refererer til de indstillinger, der styrer, hvordan din computer genstartes til Windows-genoprettelsesmiljøet (WinRE) for fejlfinding. Man kan tilgå WinRE via indstillingerne under “Avanceret start” eller ved at holde Shift nede, mens man vælger “Genstart” fra login- eller startmenuen”.

Hvad er Setup og Safe OS (WinRE) Dynamic Updates?
Når man tænker isoleret på Windows opdateringer, tænker mange automatisk “kumulativ opdatering” eller “patch Tuesday”. Men Setup Dynamic Updates og Safe OS (WinRE) Dynamic Updates er en anden kategori da de er specifikt målrettet installations-, opgraderings- og recovery miljøet.
Setup Dynamic Update refererer til de filer og binærkomponenter som bruges når Windows Setup kører, som f.eks. Setup.exe, komponenter som Appraiser, SetupPlatform o.l. Hvis disse dele er forældede i forhold til mediet eller install.wim filen, kan opgraderingsforløb eller medieinstallationer fejle. Safe OS (WinRE) Dynamic Update dækker den pre-boot del af Windows: WinRE image (winre.wim) og de drivere samt binærer som benyttes under “Reset this PC”, Automatic Repair, cloud reinstall osv. Hvis WinRE miljøet ikke er opdateret, risikerer man at recovery flowet fejler, eller at BitLocker recover hænger. Gældende for organisationsmiljøer, og med særlig fokus på dem med “Golden Images” eller med store deployments, er disse Dynamic Updates altså ikke bare optional kosmetik: de er afgørende for sikring og stabilitet.

Oversigt over de udgivne KB pakker
Lad os tage et kig på de primære pakker:

• KB5069340: Safe OS Dynamic Update for Windows 10 version 21H2/22H2. Opdaterer WinRE image og pre boot drivere
• KB5068795: Setup Dynamic Update for Windows 10 version 1809 (og Windows Server 2019). Opdaterer Setup binarier og relaterede filer.
• KB5068790: Safe OS Dynamic Update for Windows 10 version 1809 (og Windows Server 2019). Opdaterer WinRE payload og pre-boot drivere for denne version. Der findes også pakker for ældre versioner (fx 1607 branch) herunder KB5068794 og KB5068789, som dækker tilsvarende scenarier.

Hvilke Windows 10 versioner gælder opdateringerne for?
Her er versionerne og deres dækningskontekst:

• Version 21H2 og 22H2: dækket af KB5069340 (Safe OS) som nævnt.
• Version 1809: dækket af KB5068795 (Setup) og KB5068790 (Safe OS) inkl. server varianter.
• Ældre versioner som 1607: har tilsvarende patches (KB5068794, KB5068789), som du bør vurdere hvis du stadig har enheder på disse versioner. Det er også vigtigt at notere, at Windows 10’s mainstream support for mange forbrugerudgaver stoppede 14. oktober 2025. Microsoft Support Derfor er disse Dynamic Updates ekstra relevante i et miljø, der skal bevare stabilitet og sikkerhed selv efter support stoppet.

Teknisk gennemgang – hvad opdateres præcist?
På det tekniske niveau indeholder disse pakker følgende elementer:

• For Safe OS/WinRE pakkerne: opdatering af winre.wim, opdaterede pre boot-drivere som usbccgp.sys, USBHUB3.SYS, usbd.sys, winload.efi m.v. blandt andet i KB5068790 for version 1809.
• For Setup-pakkerne: opdatering af Setup.exe, Appraiser komponenter, SetupPlatform dll’er og filer der evaluerer hardware/kompatibilitet under opgraderinger.
• For implementering: IT-teams kan downloade CAB/MSU via Microsoft Update Catalog og enten lade Windows Update håndtere det automatisk eller manuelt injektere (inject) pakken i install.wim/medie via DISM blandt andet, når man arbejder med Golden Images.
  Efter installation bør du verificere i f.eks. WinRE version (fx 10.0.19041.6566 for KB5069340) via reagentc /info eller PowerShell script.

Implementering og verifikation for IT-admins
Som ansvarlig for implementering bør du følge dette flow:

1. Tjek om dine enheder kører en af de versioner, der dækkes (21H2/22H2, 1809, 1607).
2. Download de respektive pakker fra Microsoft Update Catalog (eller via WSUS).
3. Hvis du bruger Golden Image medier, mount install.wim eller winre.wim og inject Dynamic Update pakken via DISM (f.eks.dism /image:… /add-package /packagepath:…).
4. Kør agent checks eller script verifikation: herunderreagentc /info for WinRE, eller PowerShell script for version kontrol. Bekræft at WinRE versionen stemmer overens.
5. Planlæg udrulning – f.eks. først testgruppe, derefter bred udrulning. Tag backup / snapshot før injektion, så du har rollback mulighed, hvis noget fejler i processen.
6. Efter udrulning: monitor event logs for fejl under “Reset this PC”, Automatic Repair eller opgraderings flows, hvis der opstår BitLocker prompt, kan det være tegn på at WinRE miljøet ikke blev opdateret korrekt.

Risko og konsekvenser: Derfor er opdateringerne vigtige
Selvom disse pakker ikke er “funktionsopdateringer” med flashy brugerfunktioner, så er deres betydning stor:

• For opgraderings- og installationsflow: Hvis setup miljøet er forældet, øges risikoen for at opgradering fejler eller hænger. Dette kan kan koste tid og resultere i driftspåvirkning.
• For recovery miljø: Hvis WinRE ikke matcher det installeredes build eller mangler drivere, kan “Reset this PC” eller automatisk reparation fejle, i værste fald kan en enhed blive ubootbar eller kræve manuel intervention.
• Gældende for support situationer: Da Windows 10 for mange enheder har nået skæringsdatoen for officiel Microsift supportfor mainstream support (14. oktober 2025) forbruger SKU’er, er det kritisk for organisationer, der bliver nødt til at opretholde sikkerhed og tilgængelighed, at miljøet er så robust som muligt.
• Bred udrulning: Hvis en organisation har hundredvis eller tusinder af enheder, så kan en “upgrade hang” eller “recovery fail” have massiv indvirkning på drift – dermed er disse Dynamic Updates en forholdsvis lille investering for stor operationel gevinst.

Kendte problemer og bedste praksis (checklists)
Før udrulning bør du tjekke følgende:

• Er mediet/Golden Imageet opdateret med nyeste Servicing Stack Update (SSU) før injection – nogle Dynamic Updates har afhængigheder.
• Har du testet på en “testgruppe”, og verificeret at recovery flows virker?
• Har du taget backup/snapshot før du injicerer? Så rollback er mulig.
• Har du dokumenteret versionen af WinRE og Setup miljø før og efter? Dette gør det nemmere at identificere uventet adfærd senere.
• Vær opmærksom på at nogle Dynamic Updates ikke kan fjernes efter de er injiceret i et medie, så god test forud, er afgørende.
  Hvis problemer opstår: Du kan vurdere rollback via tidligere medie, eller server­image, og rapportere fejlen til Microsoft via deres Release Health dashboard.

Konklusion og næste skridt
For dig som IT-administrator eller teknisk ansvarlig er KB5069340, KB5068795 og KB5068790 ikke noget du blot “kan tage senere”. De repræsenterer en vigtig brik i at sikre, at installations-, opgraderings- og recovery flows i dine Windows 10 miljøer forbliver optimeret og driftssikre. Tag dem med i din udrulningsplan nu: identificér versioner, planlæg test, dokumentér før og efter, injicer om nødvendigt i medie, og verificér. Hvis du følger listen ovenfor, sænker du risikoen for overraskelser markant.