借助热补丁更新,你可以快速采取措施,帮助保护组织免受不断演变的网络攻击的影响,同时最大限度地减少用户中断。 热补丁更新是 每月 B 发布的 安全更新,无需重启设备即可安装并生效。 通过最大程度地减少重启需求,这些更新有助于确保更快的合规性,使组织更容易维护安全性,同时保持工作流不中断。
默认情况下,Microsoft Intune中所有符合条件的设备启用热补丁安全更新。 此方法可帮助组织维护安全合规性,同时最大程度地减少工作流中断。
可以使用租户级别设置或质量更新策略来配置是否为设备启用热补丁。
主要优势
- 更快的安全性:热补丁安全修补程序无需重启即可生效,从而更快地使设备安全。
- 减少中断:热补丁可安装符合条件的安全更新,而无需立即重启设备,从而帮助用户保持工作效率。
- 较小的有效负载:热补丁包大小明显小于标准累积更新。
- 对现有更新通道没有更改:现有更新通道配置将保持有效,并且与热补丁配置一起保留。
- 策略级可见性:热补丁质量更新报告提供接收热补丁更新的设备更新状态的策略级视图。
先决条件
热补丁与 Windows 质量更新策略具有相同的先决条件。 请参阅 质量更新先决条件。 本部分重点介绍特定于热补丁的其他先决条件。
设备配置要求
若要准备设备以接收热补丁更新,请在设备上配置以下操作系统设置。 必须将这些设置配置为向设备提供热补丁更新并应用所有热补丁更新。
基于虚拟化的安全性 (VBS)
必须打开 VBS 才能为设备提供热补丁更新。 有关如何设置和检测是否启用了 VBS 的信息,请参阅 基于虚拟化的安全性 (VBS) 。注意
设备可能暂时不合格,因为它们未启用 VBS,或者当前未处于最新基线版本。 若要确保所有 Windows 设备都已正确配置为符合热补丁更新的条件,请参阅 热补丁更新疑难解答。
还可以通过警报热补丁 - VBS 未运行在 “自动修补警报和修正 ”中找到 VBS 状态。
Arm 64 设备必须禁用编译的混合 PE 用法 (CHPE) (Arm 64 CPU 仅)
若要确保应用所有热补丁更新,必须设置 已编译的混合可移植可执行文件 (CHPE) 禁用标志,并重启设备以禁用 CHPE 使用。 只需设置此标志一次。 注册表设置仍通过更新应用。
此要求仅适用于使用热补丁更新时的 Arm 64 CPU 设备。 热补丁更新与服务 CHPE OS 二进制文件不兼容。
若要禁用 CHPE,请创建和/或设置以下 DWORD 注册表项:
路径:
HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management DWORD key value: HotPatchRestrictions=1若要详细了解 CHPE,请参阅 WOW64 实现详细信息
注意
在启用了 CHPE 的 Arm64 设备上,没有支持热补丁更新的计划。 仅 Arm64 设备需要禁用 CHPE。 AMD 和 Intel CPU 没有 CHPE。 如果选择不再使用热补丁更新,请清除 CHPE 禁用标志 (
HotPatchRestrictions=0) 然后重启设备以启用 CHPE 用法。
不符合条件的设备
不满足一个或多个先决条件的设备会自动接收最新累积更新 (LCU) 。 最新累积更新 (LCU) 包含每月更新,这些更新取代包含安全和非安全版本的上个月的更新。
LCU 要求重启设备,但 LCU 可确保设备完全安全且合规。
注意
如果设备不符合热补丁更新的条件,则会为这些设备提供 LCU。 LCU 会保留配置的更新通道设置,不会更改设置。
发布周期
有关热补丁更新的发布日历的详细信息,请参阅 热补丁发行说明。
- 基线:包括最新的安全修补程序、累积新功能和增强功能。 需要重启。
- 热补丁:包括安全更新。 无需重启。
| 季度 | 基线更新 (需要重启) | 热补丁 (无需重启) |
|---|---|---|
| 1 | 一月 | 2 月和 3 月 |
| 2 | 四月 | 5 月和 6 月 |
| 3 | 7 月 | 8 月和 9 月 |
| 4 | 10 月 | 11 月和 12 月 |
在热补丁月期间,如果设备启用了热补丁更新,但未使用最新的基线更新,则设备将收到最新基线更新 (重启所需的) 和最新的热补丁更新。
注意
将注册热补丁的设备升级到最新的 Windows 版本 (例如,从Windows 11版本 24H2 升级到Windows 11,在基线月份内版本 25H2) 使设备保持热补丁周期,并且设备继续无缝接收热补丁更新。 但是,在热补丁月份将设备升级到最新的 Windows 版本会将设备切换到标准更新;必须重启设备才能应用更新,直到下一个基线版本发布。
2025 Windows 11 企业版 或 Windows Server 上的热补丁
注意
热补丁也可用于Windows Server和Windows 365。 有关详细信息,请参阅适用于 Windows Server Azure Edition 的热补丁。
Windows 11 和 Windows Server 2025 之间的热补丁更新类似。
- Windows 自动修补管理Windows 11更新
- 适用于本地 Windows 2025 Datacenter/Standard 版的 Azure 更新管理器 和可选) Azure Arc 订阅 (管理Windows Server 2025 Datacenter Azure 版。
计划每年的日历日期、8 个热补丁月和 4 个基准月对于所有热补丁支持的操作系统都是相同的。 例如,一个 OS (可能会有额外的基线月,例如,Windows Server 2022) ,而另一个 OS 有热补丁月,例如 Server 2025 或 Windows 11 版本 24H2。 查看 Windows 版本运行状况中的发行说明。
注册设备以接收热补丁更新
可以使用租户级别设置或质量更新策略为设备启用热补丁更新。 租户级别设置是应用于非质量更新策略成员设备的默认设置。 如果将设备分配到质量更新策略,则应用该策略中的热补丁设置。
默认热补丁租户设置
默认租户设置仅适用于不是质量更新策略成员的设备。
Windows 自动修补遵循质量更新策略的配置。 如果将设备分配给其中一个策略,则应用了该策略中的热补丁设置。
为租户配置默认热补丁更新行为,如下所示:
- 在Microsoft Intune管理中心,选择“租户管理>”“Windows 自动修补>租户管理”。
- 选择“ 租户设置 ”选项卡。
- 将“ 当可用时,应用更新而不重启设备 (”热补丁“) 设置切换为 ”允许 “或” 阻止”。
使用质量更新策略配置热补丁。
Windows 自动修补遵循质量更新策略中热补丁设置的配置。 如果将设备分配到其中一个策略,则该策略中的热补丁设置是应用的热补丁设置,而不是租户默认设置。
注册设备以接收热补丁更新:
- 在Microsoft Intune管理中心,选择“设备>”“Windows 更新”。
- 选择“ 质量更新 ”选项卡。
- 选择“ 创建”,然后选择“ Windows 质量更新策略”。
- 在 “基本信息 ”部分下,输入新策略的名称,然后选择“ 下一步”。
- 在 “设置” 部分下,将“ 如果可用,应用而不重启设备 (”热补丁“) 设置为 ”允许”。 然后,选择“下一步”。
- 选择适当的“作用域”标记或保留为“默认”。 然后,选择“下一步”。
- 将设备分配到策略,然后选择“ 下一步”。
- 查看策略并选择“ 创建”。
这些步骤可确保正确配置符合资格条件的目标设备。 请参阅先决条件。 不符合条件的设备 (LCU) 提供最新的累积更新。 请参阅 是什么使设备不合格。
注意
启用热补丁更新不会更改托管设备上现有的截止时间驱动或计划的安装配置。 延迟和可用小时数设置仍适用。
回滚热补丁更新
不支持自动回滚热补丁更新,但可以卸载它们。 如果热补丁更新遇到意外问题,可以通过卸载热补丁更新并安装最新的标准累积更新 (LCU) 并重启进行调查。 卸载热补丁更新很快,但需要重启设备。
热补丁质量更新报告
在创建启用了热补丁更新的 Windows 质量更新策略后,可以从报表中监视结果、热补丁部署状态和错误。
此报表显示所有已启用热补丁更新的设备的目标设备总数和当前更新状态。
若要访问报表,请执行以下操作:
- 在Microsoft Intune管理中心,选择“报表”
- 在 “Windows 自动修补 ”部分下,选择“ Windows 质量更新”
- 在“ 报表 ”选项卡上,选择“ 热补丁质量更新报表”。
对热补丁更新进行故障排除
步骤 1:在安装热补丁更新之前,验证设备是否符合热补丁更新的条件和热补丁基线
热修补遵循热补丁发布周期。 查看先决条件,确保设备符合热补丁更新的条件。 有关不符合先决条件的设备的信息,请参阅 不符合条件的设备。
有关最新版本计划,请参阅 热补丁发行说明。 有关 Windows 更新历史记录的信息,请参阅 Windows 11 版本 24H2 更新历史记录。
步骤 2:验证设备是否已启用基于虚拟化的安全性 (VBS)
- 选择“开始”,并在“搜索”中输入 “系统信息 ”。
- 从结果中选择 “系统信息 ”。
- 在 “系统摘要”下的“项”列下,找到 “基于虚拟化的安全性”。
- 在 “值 ”列下,确保其状态 为“正在运行”。
步骤 3:验证设备是否已正确配置为打开热补丁更新
- 在Intune中,转到“Windows 更新>质量汇报”页面,查看在 Windows 自动修补中配置的策略,以查看哪些设备组是热补丁策略的目标。
- 确保热补丁更新策略设置为 “允许”。
- 在设备上,选择“启动>设置”>Windows 更新>“配置更新策略>”选项>,找到“启用热修补”(如果可用)。 此设置指示设备已在 Windows 自动修补配置的热补丁更新中注册。
步骤 4:仅 (CHPE) (Arm64 CPU 禁用编译的混合 PE 用法)
有关详细信息,请参阅 Arm 64 设备必须禁用编译的混合 PE 用法 (CHPE) (Arm 64 CPU 仅限) 。
步骤 5:使用事件查看器验证设备是否已打开热补丁更新
- 右键单击“开始”菜单,然后选择“ 事件查看器”。
- 在筛选器中搜索 AllowRebootlessUpdates 。 如果 AllowRebootlessUpdates 设置为
1,则设备在 Windows 自动修补更新策略中注册,并且已启用热补丁更新:"data": { "payload": "{\"Orchestrator\":{\"UpdatePolicy\":{\"Update/AllowRebootlessUpdates\":true}}}", "isEnrolled": 1, "isCached": 1, "vbsState": 2,
步骤 6:检查 Windows 日志中是否存在任何热补丁错误
热补丁更新提供收件箱监视器服务,用于检查设备上安装的更新的运行状况。 如果监视服务检测到错误,该服务会在 Windows 应用程序日志中记录事件。 如果出现严重错误,设备将安装标准 (LCU) 更新,以确保设备完全安全。
- 右键单击“开始”菜单,然后选择“ 事件查看器”。
- 在筛选器中搜索 热补丁 以查看日志。