Поделиться через

Обновления горячего исправления

  • Статья

Обновления горячего исправления предназначены для сокращения времени простоя и сбоев. Обновления горячего исправления — это ежемесячные обновления для системы безопасности выпуска B , которые устанавливаются и вступают в силу без необходимости перезапуска устройства. Сводя к минимуму необходимость перезапуска, эти обновления помогают обеспечить более быстрое соответствие требованиям, упрощая для организаций поддержание безопасности при сохранении рабочих процессов в непрерывном режиме.

Hotpatch — это расширение клиентский компонент Центра обновления Windows и требует автозаполнения для создания и развертывания горячих исправлений на устройствах, зарегистрированных в политике автоматического обновления качества.

Главные преимущества

  • Обновления горячего исправления упрощают процесс установки и повышают эффективность соответствия требованиям.
  • Изменения существующих конфигураций круга обновлений не требуются. Существующие конфигурации кругов учитываются вместе с политиками Hotpatch.
  • Отчет по обновлению качества Hotpatch предоставляет представление на уровне политики текущих состояний обновлений для всех устройств, получающих обновления Hotpatch.

Предварительные условия

Чтобы воспользоваться преимуществами обновлений Hotpatch, устройства должны соответствовать следующим предварительным требованиям:

Предварительные требования к конфигурации операционной системы

Чтобы подготовить устройство к получению обновлений Hotpatch, настройте на устройстве следующие параметры операционной системы. Необходимо настроить эти параметры, чтобы устройство было предложено обновление Hotpatch и применить все обновления Hotpatch.

Безопасность на основе виртуализации (VBS)

Чтобы на устройстве предлагались обновления горячего исправления, необходимо включить VBS. Сведения о том, как настроить и определить, включена ли VBS, см. в разделе Безопасность на основе виртуализации (VBS).

Примечание.

Устройства могут быть временно недоступны, так как они не поддерживают VBS или в настоящее время не находятся на последнем базовом выпуске. Чтобы убедиться, что все устройства Windows настроены правильно, чтобы они могли получать обновления с горячим исправлением, см. статью Устранение неполадок с обновлениями с горячим исправлением.

Устройства Arm 64 должны отключить скомпилированное гибридное использование PE (CHPE) (только ЦП Arm 64)

Важно.

Устройства Arm 64 доступны в общедоступной предварительной версии. Она активно разрабатывается и может быть не завершена. Они доступны в режиме предварительной версии. Вы можете протестировать и использовать эти функции в рабочих средах и сценариях, а также предоставлять отзывы.

Это требование применяется только к устройствам ЦП Arm 64 при использовании обновлений Hotpatch. Обновления горячего исправления несовместимы с двоичными файлами ОС CHPE, расположенными в папке %SystemRoot%\SyChpe32 .

Чтобы обеспечить применение всех обновлений Hotpatch, необходимо установить флаг отключения CHPE и перезапустить устройство, чтобы отключить использование CHPE. Этот флаг нужно задать только один раз. Параметр реестра остается применен через обновления.

Важно.

Этот параметр является обязательным, так как он заставляет операционную систему использовать двоичные файлы с эмуляцией только x86 вместо двоичных файлов CHPE на устройствах Arm 64. Двоичные файлы CHPE включают собственный код Arm 64 для повышения производительности, за исключением двоичных файлов CHPE может повлиять на производительность или совместимость. Обязательно протестируйте совместимость и производительность приложений, прежде чем развертывать обновления Hotpatch на устройствах на базе ЦП Arm 64.

Чтобы отключить CHPE, создайте и(или) задайте следующий раздел реестра DWORD: Путь: HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management значение ключа DWORD: HotPatchRestrictions=1

Примечание.

Поддержка обновлений горячего исправления на устройствах Arm64 с включенным CHPE не планируется. Отключение CHPE требуется только для устройств Arm64. Процессоры AMD и Intel не имеют CHPE.

Если вы решили больше не использовать обновления Hotpatch, снимите флаг отключения CHPE (HotPatchRestrictions=0), а затем перезапустите устройство, чтобы включить использование CHPE.

Неподготовлимые устройства

Устройства, которые не соответствуют одному или нескольким предварительным требованиям, автоматически получают последнее накопительное обновление (LCU). Последнее накопительное обновление (LCU) содержит ежемесячные обновления, заменяющие обновления за предыдущий месяц, содержащие как выпуски безопасности, так и выпуски, не связанные с безопасностью.

Для LCU требуется перезапустить устройство, но LCU гарантирует, что устройство остается полностью безопасным и совместимым.

Примечание.

Если устройства не соответствуют требованиям для обновлений Hotpatch, этим устройствам предлагается LCU. LCU сохраняет настроенные параметры круга обновления, но не изменяет параметры.

Циклы выпуска

Дополнительные сведения о календаре выпусков для обновлений hotpatch см. в разделе Заметки о выпуске для Hotpatch.

  • Базовые показатели. Включает последние исправления безопасности, накопительные новые функции и улучшения. Требуется перезагрузка.
  • Горячее исправление: включает обновления для системы безопасности. Перезапуск не требуется.
Четверть Базовые обновления (требуется перезапуск) Горячее исправление (перезапуск не требуется)
1 Январь Февраль и март
2 Апрель Май и июнь
3 Июль Август и сентябрь
4 Октябрь Ноябрь и декабрь

Горячее исправление в Windows 11 Корпоративная или Windows Server 2025 г.

Примечание.

Hotpatch также доступен на Windows Server и Windows 365. Дополнительные сведения см. в статье Hotpatch for Windows Server Azure Edition.

Обновления горячего исправления похожи между Windows 11 и Windows Server 2025.

  • Автоматическое исправление Windows управляет обновлениями Windows 11
  • Диспетчер обновлений Azure и необязательная подписка Azure Arc для windows 2025 Datacenter/Standard Editions (локальная версия) управляет Windows Server 2025 Datacenter Выпуск Azure. Дополнительные сведения о Windows Server и Windows 365 см. в статье Hotpatch for Windows Server Azure Edition.

Календарные даты, восемь месяцев горячего исправления и четыре базовых месяца, запланированные каждый год, одинаковы для всех операционных систем с поддержкой горячего исправления (ОС). Для одной ОС (например, Windows Server 2022) возможны дополнительные базовые месяцы, а для другой ОС, например Server 2025 или Windows 11 версии 24H2, существуют месяцы горячего исправления. Просмотрите заметки о выпуске из раздела Работоспособность выпусков Windows , чтобы быть в курсе последних событий.

Регистрация устройств для получения обновлений Hotpatch

Примечание.

Если вы используете группы автозаполнения и хотите, чтобы устройства получали обновления Hotpatch, необходимо создать политику Hotpatch и назначить ей устройства. Включение обновлений hotpatch не изменяет параметр отсрочки, применяемый к устройствам в группе автозаполнения.

Чтобы зарегистрировать устройства для получения обновлений Hotpatch, выполните следующие действия.

  1. Перейдите в Центр администрирования Intune.
  2. Выберите Устройства в меню навигации слева.
  3. В разделе Управление обновлениями выберите Обновления Windows.
  4. Перейдите на вкладку Исправления .
  5. Щелкните Создать и выберите Политика обновления качества Windows.
  6. В разделе Основные сведения введите имя новой политики и нажмите кнопку Далее.
  7. В разделе Параметры установите для параметра "Если доступно, применить без перезапуска устройства ("Hotpatch") значение Разрешить. Нажмите кнопку Далее.
  8. Выберите соответствующие теги области или оставьте значение По умолчанию. Нажмите кнопку Далее.
  9. Назначьте устройства политике и нажмите кнопку Далее.
  10. Просмотрите политику и нажмите кнопку Создать.

Эти действия обеспечивают правильную настройку целевых устройств, которые могут получать обновления горячего исправления. Для устройств, не имеющих права, предлагаются последние накопительные обновления (LCU).

Примечание.

Включение обновлений Hotpatch не изменяет существующие конфигурации на основе крайних сроков или запланированной установки на управляемых устройствах. Параметры отсрочки и активных часов по-прежнему применяются.

Откат обновления с горячим исправлением

Автоматический откат обновления Hotpatch не поддерживается, но их можно удалить. Если у вас возникла непредвиденная проблема с обновлениями горячего исправления, вы можете изучить эту проблему, удалив обновление hotpatch, установив последнее стандартное накопительное обновление (LCU) и перезапустив. Удаление обновления с горячим исправлением выполняется быстро, однако для этого требуется перезагрузка устройства.

Устранение неполадок с обновлениями с горячим исправлением

Шаг 1. Убедитесь, что устройство подходит для обновлений hotpatch и на базовом уровне горячего исправления перед установкой обновления hotpatch

Горячее исправление выполняется по циклу выпуска hotpatch. Проверьте предварительные требования, чтобы убедиться, что устройство подходит для обновлений горячего исправления. Сведения об устройствах, которые не соответствуют предварительным требованиям, см. в разделе Устройства, не соответствующие требованиям.

Расписание последнего выпуска см. в заметках о выпуске hotpatch. Сведения об журнале обновлений Windows см. в разделе журнал обновлений Windows 11 версии 24H2.

Шаг 2. Проверка того, что на устройстве включена защита на основе виртуализации (VBS)

  1. Нажмите кнопку Пуск и введите в поле System information Поиск.
  2. Выберите Сведения о системе в результатах.
  3. В разделе Сводка по системе в столбце Элемент найдите безопасность на основе виртуализации.
  4. В столбце Значение убедитесь, что в нем указано Выполняется.

Шаг 3. Проверка правильной настройки устройства для включения обновлений горячего исправления

  1. В Intune просмотрите настроенные политики в автозаполнения, чтобы узнать, на какие группы устройств используется политика горячего исправления, перейдя на страницу Обновления клиентский компонент Центра обновления Windows>Quality.
  2. Убедитесь, что для политики обновления горячего исправления задано значение Разрешить.
  3. На устройстве выберите Пуск>Параметры>клиентский компонент Центра обновления Windows>Добавить параметры>Настроенные политики обновлений> выберите Включить горячее исправление, если доступно. Этот параметр указывает, что устройство зарегистрировано в обновлениях горячего исправления, как это настроено с помощью функции автозахвата.

Шаг 4. Отключение скомпилированного гибридного использования PE (CHPE) (только ЦП Arm64)

Дополнительные сведения см. в статье Устройства Arm 64 должны отключить скомпилированное гибридное использование PE (CHPE) (только ЦП Arm 64).

Шаг 5. Использование средства просмотра событий для проверки включения обновлений горячего исправления на устройстве

  1. Щелкните правой кнопкой мыши меню Пуск и выберите средство просмотра событий.
  2. Выполните поиск по запросу AllowRebootlessUpdates в фильтре. Если параметр AllowRebootlessUpdates имеет значение 1, устройство регистрируется в политике автоматического обновления и включает обновления с горячим исправлением:

"data": { "payload": "{\"Orchestrator\":{\"UpdatePolicy\":{\"Update/AllowRebootlessUpdates\":true}}}", "isEnrolled": 1, "isCached": 1, "vbsState": 2,

Шаг 6. Проверка журналов Windows на наличие ошибок горячего исправления

Обновления горячего исправления предоставляют службу мониторинга папки "Входящие", которая проверяет работоспособность обновлений, установленных на устройстве. Если служба мониторинга обнаруживает ошибку, служба регистрирует событие в журналах приложений Windows. При возникновении критической ошибки устройство устанавливает стандартное обновление (LCU), чтобы обеспечить полную безопасность устройства.

  1. Щелкните правой кнопкой мыши меню Пуск и выберите средство просмотра событий.
  2. Выполните поиск по запросу hotpatch в фильтре, чтобы просмотреть журналы.