Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
С помощью обновлений с горячим исправлением можно быстро принять меры, которые помогут защитить свою организацию от изменяющегося ландшафта кибератак, сводя к минимуму перебои пользователей. Обновления горячего исправления — это ежемесячные обновления для системы безопасности выпуска B , которые устанавливаются и вступают в силу без необходимости перезапуска устройства. Сводя к минимуму необходимость перезапуска, эти обновления помогают обеспечить более быстрое соответствие требованиям, упрощая для организаций поддержание безопасности при сохранении рабочих процессов в непрерывном режиме.
Hotpatch — это расширение клиентский компонент Центра обновления Windows и требует автоматического исправления Windows для создания и развертывания обновлений hotpatch на устройствах, зарегистрированных в политике обновления качества автозапачка Windows.
Главные преимущества
- Обновления горячего исправления упрощают процесс установки и повышают эффективность соответствия требованиям.
- Изменения существующих конфигураций круга обновлений не требуются. Существующие конфигурации кругов учитываются вместе с политиками обновления горячего исправления.
- Отчет по обновлению качества Hotpatch предоставляет представление на уровне политики текущих состояний обновлений для всех устройств, получающих обновления с горячим исправлением.
- Размер пакета обновления hotpatch значительно меньше стандартных накопительных обновлений. Поэтому обновления горячего исправления устанавливаются быстрее и потребляют меньше пропускной способности сети. Дополнительные сведения см. в статье Эффективность горячего исправления разблокирована: меньший размер обновления.
Предварительные условия
Чтобы воспользоваться преимуществами обновлений hotpatch, устройства должны соответствовать следующим предварительным требованиям:
- Одна из соответствующих лицензий: Windows 11 Корпоративная E3 или E5, Microsoft 365 F3, Windows 11 для образовательных учреждений A3 или A5, Microsoft 365 бизнес премиум или Windows 365 Корпоративная
- Windows 11 версии 24H2 или более поздней
- Устройства должны иметь последнюю базовую версию выпуска, чтобы иметь право на горячее исправление обновлений. Корпорация Майкрософт выпускает базовые обновления ежеквартально* как стандартные накопительные обновления. Дополнительные сведения о последнем расписании для этих выпусков см. в разделе Заметки о выпуске для горячего исправления.
- Microsoft Intune для управления развертыванием обновлений с горячим исправлением с помощью политики обновления качества Windows с включенной функцией hotpatch
Предварительные требования к конфигурации операционной системы
Чтобы подготовить устройство к получению обновлений горячего исправления, настройте на устройстве следующие параметры операционной системы. Эти параметры необходимо настроить для устройства, чтобы получать обновление горячего исправления и применять все обновления горячего исправления.
Безопасность на основе виртуализации (VBS)
Чтобы на устройстве предлагались обновления горячего исправления, необходимо включить VBS. Сведения о том, как настроить и определить, включена ли VBS, см. в разделе Безопасность на основе виртуализации (VBS).
Для работы установщика обновлений горячего исправления требуется VBS. Чтобы включить VBS, можно использовать CSP VirtualizationBasedTechnology. Дополнительные сведения см. в разделе VirtualizationBasedTechnology.
Примечание.
Устройства могут быть временно недоступны, так как они не поддерживают VBS или в настоящее время не находятся на последнем базовом обновлении. Чтобы убедиться, что все ваши устройства Windows имеют право на обновление с горячим исправлением, настройте их должным образом с помощью команды Устранение неполадок с обновлениями с горячим исправлением. Состояние VBS также можно найти в разделе Автоматическое исправление оповещений и исправлений с оповещением "Hotpatch — VBS не запущен".
Устройства Arm 64 должны отключить скомпилированное гибридное использование PE (CHPE) (только ЦП Arm 64)
CHPE (скомпилированный гибридный переносимый исполняемый файл) — это тип двоичного файла, который повышает производительность 32-разрядных (x86) приложений, работающих на устройствах Arm64. Двоичные файлы CHPE включают в себя собственный код Arm64 и x86, что позволяет Windows более эффективно запускать приложения x86 на компьютерах на базе Arm.
Это требование применяется только к устройствам ЦП Arm64 при использовании обновлений горячего исправления. Обновления горячего исправления несовместимы с двоичными файлами ОС CHPE, расположенными в папке %SystemRoot%\SyChpe32 .
Примечание.
CHPE относится только к средам, где на устройствах Arm64 требуется 32-разрядная версия Microsoft Office x86 или другие устаревшие приложения x86.
Если вы не знаете, какой выпуск приложений вы запускаете и могут ли они завершиться сбоем при отключении CHPE, см. раздел Выбор между 64-разрядной или 32-разрядной версией Office.
Сбой приложения или проблемы с производительностью могут возникнуть из-за отключения двоичных файлов CHPE. Это может произойти при запуске 32-разрядной программы, например кода VBA с помощью инструкций Declare или 32-разрядных надстроек COM без 64-разрядной альтернативы. Чтобы избежать этих проблем, обновите программу до 64-разрядной версии. Кроме того, можно определить устройства, на которые должны выполняться эти программы, и исключить их из политик обновления качества горячего исправления.
Рекомендации по обновлению 32-разрядных приложений до 64-разрядных см. в статье Обновление архитектуры приложений с Arm32 до Arm64.
Чтобы обеспечить применение всех обновлений горячего исправления, необходимо отключить использование CHPE. Установите флаг отключения CHPE и перезапустите устройство. Этот флаг нужно задать только один раз. Параметр реестра остается применен через обновления.
Чтобы отключить двоичные файлы CHPE, можно использовать CSP системной политики DisableCHPE.
Вы также можете создать и (или) задать следующий раздел реестра DWORD: Путь: HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management значение ключа DWORD: HotPatchRestrictions=1
Важно.
Поддержка 32-разрядного выпуска Приложения Microsoft 365 на устройствах с Windows Arm прекращается. Новые обновления компонентов остановлены в октябре 2025 г., а обновления для системы безопасности — в декабре 2026 г. Если ваша организация по-прежнему использует 32-разрядные Приложения Microsoft 365 на компьютерах с Windows Arm, ознакомьтесь с разделом Прекращение поддержки 32-разрядных Приложения Microsoft 365 на компьютерах под управлением Windows Arm. Поддержка обновлений горячего исправления на устройствах Arm64 с включенным CHPE не планируется. Отключение CHPE применимо только к устройствам Arm64.
Если вы решили больше не использовать обновления горячего исправления, снимите флаг отключения CHPE (HotPatchRestrictions=0), а затем перезапустите устройство, чтобы включить использование CHPE.
Неподготовлимые устройства
Устройства, которые не соответствуют одному или нескольким предварительным требованиям, автоматически получают стандартное последнее накопительное обновление (LCU). LCU содержат ежемесячные обновления, заменяющие обновления за предыдущий месяц, содержащие как выпуски безопасности, так и выпуски, не связанные с безопасностью.
Для LCU требуется перезапустить устройство. LLCU предназначены для обеспечения безопасности устройств и обеспечения их соответствия из месяца в месяц.
Примечание.
Если устройства не имеют права на горячее исправление, им предлагается LCU. LCU сохраняет настроенные параметры круга обновлений; параметры не изменяются.
Циклы выпуска
Дополнительные сведения о календаре выпусков для обновлений hotpatch см. в статье Заметки о выпуске для hotpatch.
Базовые показатели. Включает последние исправления безопасности, накопительные новые функции и улучшения. Требуется перезагрузка.
Горячее исправление: включает обновления для системы безопасности. Перезапуск не требуется.
Квартал Базовые обновления* (требуется перезапуск) Hotpatch** (перезапуск не требуется) 1 Январь Февраль и март 2 Апрель Май и июнь 3 Июль Август и сентябрь 4 Октябрь Ноябрь и декабрь
Примечание.
- * Иногда по соображениям безопасности могут возникать базовые обновления, требующие перезапуска за пределами запланированного квартального расписания. В этом случае существующая частота запланированных обновлений базовых показателей не меняется. Например, если июнь станет базовым обновлением, июль по-прежнему будет обновлением базовых показателей.
- **В течение месяца горячего исправления, если на устройстве включены обновления горячего исправления, но не установлено последнее базовое обновление, устройство получит как последнее базовое обновление (требуется перезагрузка), так и последнее обновление горячего исправления.
- Учтите, когда следует обновить устройство, зарегистрированное с помощью горячего исправления, до последней версии Windows (например, с Windows 11 версии 24H2 до версии 25H2). Если вы обновляете устройства в течение базового месяца, они остаются в цикле горячего исправления и непрерывно получают обновления горячего исправления. При обновлении устройства до последней версии Windows в течение месяца горячего исправления оно переключается на стандартные обновления. В этом случае необходимо перезапустить устройство, чтобы применить обновление. Обновления горячего исправления возобновляют работу после следующего базового обновления.
Горячее исправление в Windows 11 Корпоративная или Windows Server 2025 г.
Примечание.
Обновления горячего исправления также доступны на Windows Server и Windows 365. Дополнительные сведения см. в разделе Hotpatch for Windows Server Azure Edition.
Обновления горячего исправления похожи между Windows 11 и Windows Server 2025.
- Автоматическое исправление Windows управляет обновлениями Windows 11.
- Диспетчер обновлений Azure и необязательная подписка Azure Arc для windows 2025 Datacenter/Standard Editions (локальная версия) управляет выпуском Windows Server 2025 Datacenter Azure. Дополнительные сведения о Windows Server и Windows 365 см. в разделе Hotpatch for Windows Server Azure Edition.
Календарные даты, восемь месяцев горячего исправления и четыре базовых месяца, запланированные каждый год, одинаковы для всех операционных систем с поддержкой горячего исправления (ОС). Для одной ОС могут быть дополнительные базовые месяцы (например, Windows Server 2022), а для другой ОС, например Server 2025 или Windows 11 версии 24H2, — месяцы горячего исправления. Просмотрите заметки о выпуске из раздела Работоспособность выпусков Windows , чтобы быть в курсе последних событий.
Регистрация устройств для получения обновлений с горячим исправлением
Примечание.
Если вы используете группы автоматического исправления Windows и хотите, чтобы устройства получали обновления с горячим исправлением, создайте политику обновления с горячим исправлением и назначьте ей устройства. Включение обновлений горячего исправления не изменяет параметр отсрочки, применяемый к устройствам в группе автоматического исправления Windows.
Чтобы зарегистрировать устройства для получения обновлений горячего исправления, выполните следующие действия.
- Перейдите в Центр администрирования Intune.
- Выберите Устройства в меню навигации слева.
- В разделе Управление обновлениями выберите Обновления Windows.
- Перейдите на вкладку Исправления .
- Выберите Создать и выберите Политика обновления качества Windows.
- В разделе Основные сведения введите имя новой политики и нажмите кнопку Далее.
- В разделе Параметры задайте для параметра "Если доступно, применить без перезапуска устройства ("Горячее исправление") значение Разрешить. Нажмите кнопку Далее.
- Выберите соответствующие теги области или оставьте значение По умолчанию. Нажмите кнопку Далее.
- Назначьте устройства политике и нажмите кнопку Далее.
- Просмотрите политику и нажмите кнопку Создать.
- Вы также можете изменить существующую политику обновления качества Windows и задать для параметра "Если доступно, применить без перезапуска устройства ("Горячее исправление") значение Разрешить.
Эти действия помогут убедиться, что целевые устройства, которые могут получать обновления горячего исправления, правильно настроены. Для устройств, не имеющих права, предлагаются последние накопительные обновления (LCU).
Примечание.
Включение обновлений горячего исправления не изменяет существующие конфигурации установки на основе крайних сроков или запланированной установки на управляемых устройствах. Параметры отсрочки и активных часов по-прежнему применяются.
Откат обновления с горячим исправлением
Автоматический откат обновления горячего исправления не поддерживается, но их можно удалить. Если у вас возникла непредвиденная проблема с обновлениями hotpatch, вы можете изучить эту проблему, удалив обновление hotpatch, установив LCU и перезапустив его. Удаление обновления с горячим исправлением выполняется быстро; однако для этого требуется перезагрузка устройства.
Устранение неполадок с обновлениями с горячим исправлением
Шаг 1. Убедитесь, что устройство подходит для обновлений hotpatch и на базовом уровне горячего исправления перед установкой обновления hotpatch
Обновления горячего исправления соответствуют циклу выпуска hotpatch. Ознакомьтесь с предварительными условиями, чтобы убедиться, что устройство имеет право на горячее исправление обновлений. Сведения об устройствах, которые не соответствуют предварительным требованиям, см. в разделе Устройства, не соответствующие требованиям.
Расписание последнего выпуска см. в заметках о выпуске hotpatch. Сведения об журнале обновлений Windows см. в разделе журнал обновлений Windows 11 версии 24H2.
Шаг 2. Проверка того, что на устройстве включена защита на основе виртуализации (VBS)
- Нажмите кнопку Пуск и введите в поле
System informationПоиск. - Выберите Сведения о системе в результатах.
- В разделе Сводка по системе в столбце Элемент найдите безопасность на основе виртуализации.
- В столбце Значение убедитесь, что в нем указано Выполняется.
Шаг 3. Проверка правильной настройки устройства для включения обновлений горячего исправления
- В Microsoft Intune просмотрите настроенные политики в автопатке Windows. Чтобы узнать, на какие группы устройств нацелена политика горячего исправления, перейдите на страницу Обновления клиентский компонент Центра обновления Windows>Quality.
- Убедитесь, что для политики обновления горячего исправления задано значение Разрешить.
- На устройстве выберите Пуск>Параметры>клиентский компонент Центра обновления Windows>Добавить параметры>Настроенные политики обновления.
- Установите флажок Включить горячее исправление, если доступно. Этот параметр указывает, что устройство зарегистрировано в обновлениях горячего исправления, как это настроено с помощью автозахвата Windows.
Шаг 4. Отключение скомпилированного гибридного использования PE (CHPE) (только ЦП Arm64)
Дополнительные сведения см. в статье Устройства Arm 64 должны отключить скомпилированное гибридное использование PE (CHPE) (только ЦП Arm 64).
Шаг 5. Использование средства просмотра событий для проверки включения обновлений горячего исправления на устройстве
Щелкните правой кнопкой мыши меню Пуск и выберите Средство просмотра событий.
Выполните поиск по запросу AllowRebootlessUpdates в фильтре. Если параметр AllowRebootlessUpdates имеет значение
1, устройство регистрируется в политике автоматического обновления Windows и включает обновления горячего исправления:"data": { "payload": "{\"Orchestrator\":{\"UpdatePolicy\":{\"Update/AllowRebootlessUpdates\":true}}}", "isEnrolled": 1, "isCached": 1, "vbsState": 2,
Шаг 6. Проверка журналов Windows на наличие ошибок горячего исправления
Обновления горячего исправления предоставляют службу мониторинга папки "Входящие", которая проверяет работоспособность обновлений, установленных на устройстве. Если служба мониторинга обнаруживает ошибку, служба регистрирует событие в журналах приложений Windows. При возникновении критической ошибки устройство устанавливает стандартное обновление (LCU), чтобы обеспечить полную безопасность устройства.
- Щелкните правой кнопкой мыши меню Пуск и выберите Средство просмотра событий.
- Выполните поиск по запросу hotpatch в фильтре, чтобы просмотреть журналы.