如何在 Windows 10 生命周期结束后获取扩展安全更新

支持Windows 10将正式结束于2025 年 10 月 14 日，此后微软将不再为该操作系统提供技术帮助、功能更新或安全更新。缺乏 Windows 10 安全更新会显着降低系统保护，增加新漏洞被利用的风险，并使设备更容易受到恶意软件、勒索软件和网络攻击。建议用户将设备上的操作系统升级到 Windows 11（如果兼容）、使用 LTSC 版本或注册 Windows 10扩展安全更新 (ESU)计划在 EOL 日期之后继续接收安全更新和支持。

内容：

• Windows 10 扩展安全更新 (ESU) 计划说明
• 如何在 2026 年 10 月之前获取免费的 Windows 10 安全更新
• ESU 注册选项在 Windows 10 上不显示
• 手动安装 Windows 10 ESU 密钥

对于想要继续使用 Windows 10 但继续接收重要安全更新的用户，Microsoft 提供了扩展安全更新 (ESU)计划，该计划将安全更新支持延长至 2026 年 10 月 13 日。根据 ESU 计划，用户可以在生命周期终止日期后至少一年内接收 Windows 10 的所有关键安全更新。
有两种方法可以注册扩展安全更新 (ESU) 计划：针对普通零售用户的消费者 ESU 计划和针对企业客户的商业 ESU 计划。
零售用户可以通过以下三个选项之一进行注册来参与 Windows 10 扩展安全更新 (ESU) 计划：

• 免费，如果用户已将其电脑配置为将设置备份到 OneDrive（无需 Microsoft 365 订阅）
• 为了微软奖励积分 – Microsoft 奖励计划的会员可以兑换 1,000 点积分来免费获得 ESU 订阅或 Windows 10
• 通过 Microsoft Store 购买 ESU 订阅30 美元。

消费者扩展安全更新 (ESU) 订阅链接到 Microsoft 帐户，仅将安全更新延长一年（不超过 2026 年 10 月 13 日），不可续订，并且最多可在与同一 Microsoft 帐户关联的 10 台运行 Windows 10 的计算机上使用。

企业客户可以购买商业 ESU 订阅，将其 Windows 10 安全更新延长三年，价格每年翻一番。

• 1 年（截至 2026 年）——每台设备 61 美元
• 第二年（直到 2027 年）——122 美元
• 第三年（直到 2028 年）——255 美元

企业客户可以通过 Microsoft 批量许可/CSP 购买商业 ESU。

如何在 2026 年 10 月之前获取免费的 Windows 10 安全更新

请按照以下步骤在具有零售许可证的运行 Windows 10 的个人计算机上激活消费者 ESU 订阅：

• Windows 10 22H2必须安装在计算机上（任何版本：家庭版、专业版、教育版）
• KB5063709（2025 年 8 月发布）或 Windows 10 的任何后续累积更新应安装。
• 用户拥有 Microsoft 帐户 (MSA) 并且是设备的管理员。
• 计算机不得加入 Active Directory 域或 Entra ID、不得在 kiosk 模式下使用或通过 Intune（或其他 MDM）进行管理。
• 已配置备份到 OneDrive（通过 Windows 备份）
• ESU 订阅不包括 Windows 10 的技术支持

一旦更新KB5063709已安装，则立即报名按钮将出现在“设置”->“Windows 更新”下。这使您能够为 ESU 程序注册并激活您的计算机。

Windows 10 support ends in October 2025
Enroll in Extended Security Update to help your device secure.

单击该按钮后，系统将提示您从可用选项之一中进行选择以参与 ESU 计划。

现在，您的 Windows 10 设备将在 2026 年 10 月 13 日之前免费获得关键安全更新。

Windows 10 的生命周期终止不会影响 Microsoft Defender 防病毒定义的更新。 Win10 的定义更新将通过 Windows Update 发布至少到 2028 年。

ESU 注册选项在 Windows 10 上不显示

如果 Windows 10 中未出现“立即注册”选项（通常是由于使用本地帐户而不是 Microsoft 帐户），您可以手动强制显示该选项，以便加入扩展安全更新计划。

确保计算机未加入 AD 域、运行的是最新版本的 Windows 10 (22H2)，并且安装了更新 KB5062649 (2025–08) 或更高版本（请参阅如何使用 PowerShell 列出已安装的更新）：

winver

打开命令提示符并检查 ESUEligibility 值是否为 0x0：

reg.exe query "HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\ConsumerESU"

检查连接的用户体验和遥测 (DiagTrack) 服务是否正在运行。

sc.exe config DiagTrack start= auto
sc.exe start DiagTrack

将以下值添加到注册表中：

reg.exe add "HKLM\SYSTEM\CurrentControlSet\Policies\Microsoft\FeatureManagement\Overrides" /v 4011992206 /t REG_DWORD /d 2 /f

重新启动计算机。

接下来，以管理员身份打开命令提示符并运行以下命令：

更多阅读：如何在 Windows 11/10 质量更新中禁用驱动程序更新

cmd /c ClipESUConsumer.exe -evaluateEligibility

打开“设置”应用中的“Windows 更新”部分，然后检查立即报名按钮出现。

登录您的 MSA 帐户并将您的设备添加到扩展安全更新计划。

您可以使用中的值HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\ConsumerESU注册表项检查设备是否已加入 ESU 程序并查看检查结果。

reg.exe query "HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\ConsumerESU

可能的值：

ESU资格：

• 0：未知/功能未启用
• 1：不符合资格
• 2：符合条件
• 3：设备已注册
• 5：MSA注册
• 8：使用主帐户登录进行注册

这ESU资格结果值提供诊断信息，指示设备可能无法加入扩展安全更新计划的原因，帮助管理员解决注册问题

• 1：成功
• 3：非消费者版
• 4：商业设备
• 5：非管理员帐户
• 6：儿童账户
• 7：用户区域被禁止
• 8：Azure 设备
• 11：未知/功能未启用。

手动安装 Windows 10 ESU 密钥

企业客户在购买 ESU 订阅后必须通过安装 ESU 密钥在其托管 Windows 10 设备上激活 ESU 订阅。

安装您收到的 ESU 产品密钥，该密钥用作 Windows 激活的多次激活密钥 (MAK)。

slmgr.vbs /ipk <ESU MAK>

根据您购买的 Windows 10 扩展安全更新 (ESU) 计划的持续时间选择适当的激活 ID。以下是每个 ESU 年份的激活 ID：

• Win10 ESU 第 1 年（客户端-ESU-第 1 年）：f520e45e-7413-4a34-a497-d2765967d094
• Win10 ESU 第 2 年（客户端-ESU-第 2 年）：1043add5-23b1-4afb-9a0f-64343c8f3f8d
• Win10 ESU 第 3 年（客户端-ESU-第 3 年）：83d49986-add3-41d7-ba33-87c7bfb5c0fb

使用 ESU 密钥激活 Windows：

slmgr.vbs /ato <Activation ID>

检查 Windows 激活状态（它应更改为已许可，并且产品密钥应更改为 Client-ESU-Year1 add on、VOLUME_MAK_channel）：

slmgr.vbs /dlv

完成激活过程后，您的 Windows 10 计算机将能够直接通过 Windows 更新或通过 WSUS 服务器接收安全更新。

此外，技术上可以通过 TSforge 选项激活 ESU 订阅马斯格雷夫工具。需要注意的是，这种方法违反了微软的许可协议，被认为是非法的

irm https://get.activated.win | iex