Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Díky aktualizacím hotpatch můžete rychle přijmout opatření, která vaši organizaci ochrání před vyvíjejícím se prostředím kybernetických útoků a zároveň minimalizují narušení uživatelů. Aktualizace hotpatch jsou měsíční aktualizace zabezpečení B, které se nainstalují a projeví bez nutnosti restartovat zařízení. Díky minimalizaci nutnosti restartování tyto aktualizace pomáhají zajistit rychlejší dodržování předpisů, což organizacím usnadňuje udržování zabezpečení při zachování pracovních postupů bez přerušení.
Aktualizace zabezpečení hotpatch jsou ve výchozím nastavení povolené pro všechna oprávněná zařízení v Microsoft Intune. Tento přístup pomáhá organizacím zajistit dodržování předpisů zabezpečení a současně minimalizovat přerušení pracovních postupů.
Pomocí nastavení na úrovni tenanta nebo zásad aktualizace kvality můžete nakonfigurovat, jestli je pro zařízení povolená funkce hotpatch.
Klíčové výhody
- Rychlejší zabezpečení: Opravy zabezpečení hotpatch se projeví bez nutnosti restartování, což zajišťuje zabezpečení zařízení mnohem rychleji.
- Omezené přerušení: Hotpatch nainstaluje opravňující aktualizace zabezpečení bez nutnosti okamžitého restartování zařízení, což pomáhá uživatelům udržet produktivitu.
- Menší datové části: Velikost balíčku Hotpatch je výrazně menší než u standardních kumulativních aktualizací.
- Žádné změny stávajících aktualizačních kanálů: Stávající konfigurace aktualizačního kanálu zůstávají v platnosti a jsou respektovány společně s konfiguracemi hotpatch.
- Viditelnost na úrovni zásad: Sestava aktualizací kvality hotpatch poskytuje zobrazení stavu aktualizací na úrovni zásad pro zařízení, která dostávají aktualizace za chodu.
Požadavky
Hotpatch má stejné požadavky jako zásady aktualizace kvality Windows. Viz Požadavky aktualizace pro zvýšení kvality. Tato část popisuje další požadavky specifické pro hotpatch.
Požadavky na konfiguraci zařízení
Pokud chcete zařízení připravit na příjem aktualizací za provozu, nakonfigurujte na zařízení následující nastavení operačního systému. Tato nastavení musíte nakonfigurovat, aby se zařízení nabízela aktualizace hotpatch a aby se nainstalovaly všechny aktualizace hotpatch.
Zabezpečení na základě virtualizace (VBS)
Aby bylo možné zařízení nabízet aktualizace hotpatch, musí být služba VBS zapnutá. Informace o tom, jak nastavit a zjistit, jestli je povolený VBS, najdete v tématu Zabezpečení na základě virtualizace (VBS).Poznámka
Zařízení můžou být dočasně nezpůsobilá, protože nemají povolenou službu VBS nebo aktuálně nemají nejnovější základní verzi. Pokud chcete zajistit, aby všechna vaše zařízení s Windows byla správně nakonfigurovaná tak, aby byla způsobilá pro aktualizace za chodu, přečtěte si téma Řešení potíží s aktualizacemi za chodu.
Stav VBS najdete také v části Upozornění automatické opravy a náprava s upozorněním Hotpatch – VBS není spuštěný.
Zařízení Arm 64 musí zakázat zkompilované hybridní využití pe (CHPE) (pouze procesor Arm 64).
Pokud chcete zajistit, aby se použily všechny aktualizace hotpatch, musíte nastavit příznak zákazu kompilovaného hybridního přenosného spustitelného souboru (CHPE) a restartovat zařízení, aby se zakázalo používání funkce CHPE. Tento příznak stačí nastavit jenom jednou. Nastavení registru zůstává použito prostřednictvím aktualizací.
Tento požadavek platí pouze pro zařízení s procesorem Arm 64 při použití aktualizací hotpatch. Aktualizace oprav za chodu nejsou kompatibilní s binárními soubory operačního systému CHPE.
Pokud chcete zakázat CHPE, vytvořte nebo nastavte následující klíč registru DWORD:
Cestu:
HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management DWORD key value: HotPatchRestrictions=1Další informace o CHPE najdete v tématu Podrobnosti o implementaci WOW64.
Poznámka
Na zařízeních Arm64 s povoleným CHPE se neplánuje podpora aktualizací hotpatch. Zakázání funkce CHPE se vyžaduje jenom u zařízení s Arm64. Procesory AMD a Intel nemají CHPE. Pokud se rozhodnete, že už nebudete používat aktualizace za provozu, zrušte zaškrtnutí příznaku zákazu funkce CHPE (
HotPatchRestrictions=0) a pak restartujte zařízení, aby se využití funkce CHPE zapnulo.
Nezpůsobilá zařízení
Zařízení, která nesplňují jeden nebo více požadavků, automaticky obdrží nejnovější kumulativní aktualizaci (LCU). Nejnovější kumulativní aktualizace LCU (LCU) obsahuje měsíční aktualizace, které nahrazují aktualizace z předchozího měsíce, které obsahují verze zabezpečení i verze nesouvisecí se zabezpečením.
Kumulativní aktualizace LCU vyžadují restartování zařízení, ale kumulativní aktualizace LCU zajišťuje, že zařízení zůstane plně zabezpečené a kompatibilní.
Poznámka
Pokud zařízení nemají nárok na aktualizace za chodu, nabídne se jim kumulativní aktualizace LCU. LCU zachová vaše nakonfigurovaná nastavení aktualizačního okruhu, ale nezmění nastavení.
Cykly vydávání verzí
Další informace o kalendáři verzí pro aktualizace hotpatch najdete v tématu Poznámky k verzi pro hotpatch.
- Směrný plán: Zahrnuje nejnovější opravy zabezpečení, kumulativní nové funkce a vylepšení. Vyžaduje se restartování.
- Hotpatch: Zahrnuje aktualizace zabezpečení. Nevyžaduje se restartování.
| Čtvrtletí | Aktualizace standardních hodnot (vyžadují restartování) | Hotpatch (nevyžaduje se restartování) |
|---|---|---|
| 1 | Ledna | Únor a březen |
| 2 | Dubna | Květen a červen |
| 3 | Červenec | Srpen a září |
| 4 | Říjnu | Listopad a prosinec |
Pokud má zařízení povolené aktualizace hotpatch, ale není na něm nejnovější základní aktualizace, obdrží během měsíce aktualizace hotpatch nejnovější základní aktualizace (vyžaduje se restartování) i nejnovější aktualizaci hotpatch.
Poznámka
Upgrade zařízení zaregistrovaného za provozu na nejnovější verzi Windows (např. upgrade z Windows 11, verze 24H2 na Windows 11, verze 25H2) během základního měsíce zajistí, že zařízení bude v cyklu hotpatch a bude bez problémů dostávat aktualizace za provozu. Upgrade zařízení na nejnovější verzi Windows za hotpatch měsíc však přepne zařízení na standardní aktualizace. aby se aktualizace použila až do příští základní verze, musíte zařízení restartovat.
Hotpatch on Windows 11 Enterprise or Windows Server 2025
Poznámka
Hotpatch je k dispozici také na Windows Server a Windows 365. Další informace najdete v tématu Hotpatch for Windows Server Azure Edition.
Aktualizace hotpatch jsou podobné mezi Windows 11 a Windows Server 2025.
- Windows Autopatch spravuje Windows 11 aktualizace
- Správce aktualizace Azure a volitelné předplatné Azure Arc pro Windows 2025 Datacenter/Standard Editions (místní prostředí) spravuje Windows Server Datacenter Azure Edition.
Kalendářní data, osm hotpatch měsíců a čtyři základní měsíce naplánovaná každý rok, jsou stejná pro všechny operační systémy podporované hotpatch. Pro jeden operační systém je možné další základní měsíce (například Windows Server 2022), zatímco u jiného operačního systému, jako je Server 2025 nebo Windows 11 verze 24H2, existují horké měsíce. Projděte si poznámky k verzi ve stavu vydání windows.
Registrace zařízení pro příjem aktualizací hotpatch
Aktualizace hotpatch můžete pro svá zařízení povolit pomocí nastavení na úrovni tenanta nebo zásad aktualizace pro zvýšení kvality. Nastavení na úrovni tenanta je výchozí nastavení použité u zařízení, která nejsou členy zásad aktualizace pro zvýšení kvality. Pokud je zařízení přiřazené k zásadám aktualizace kvality, použije se nastavení hotpatch z této zásady.
Výchozí nastavení tenanta hotpatch
Výchozí nastavení tenanta se použije jenom u zařízení, která nejsou členy zásad aktualizace pro zvýšení kvality.
Funkce Automatické opravy systému Windows respektuje vaši konfiguraci zásad aktualizace pro zvýšení kvality. Pokud je zařízení přiřazené k některé z těchto zásad, použije se nastavení hotpatch z této zásady.
Následujícím způsobem nakonfigurujte výchozí chování aktualizace hotpatch pro vašeho tenanta:
- V Centru pro správu Microsoft Intune vyberte Správa> klientaWindows AutopatchSpráva tenanta>.
- Vyberte kartu Nastavení tenanta .
- Přepněte nastavení Pokud jsou k dispozici, použít aktualizace bez restartování zařízení (hotpatch) na Povolit nebo Blokovat.
Konfigurace aktualizace za chodu pomocí zásad aktualizace pro zvýšení kvality
Funkce Automatické opravy systému Windows respektuje konfiguraci nastavení hotpatch v zásadách aktualizace pro zvýšení kvality. Pokud je zařízení přiřazené k některé z těchto zásad, použije se nastavení hotpatch z této zásady, nikoli výchozí nastavení tenanta.
Registrace zařízení pro příjem aktualizací hotpatch:
- V Centru pro správu Microsoft Intune vyberte Zařízení>Aktualizace Systému Windows.
- Vyberte kartu Aktualizace kvality .
- Vyberte Vytvořit a vyberte Zásady aktualizace kvality pro Windows.
- V části Základy zadejte název nové zásady a vyberte Další.
- V části Nastavení nastavte možnost Pokud je k dispozici, použít bez restartování zařízení ("hotpatch") na Povolit. Poté vyberte Další.
- Vyberte příslušné značky oboru nebo ponechte výchozí. Poté vyberte Další.
- Přiřaďte zařízení k zásadě a vyberte Další.
- Zkontrolujte zásady a vyberte Vytvořit.
Tento postup zajistí, že cílová zařízení, která splňují kritéria způsobilosti, budou správně nakonfigurovaná. Viz Požadavky. Nezpůsobilým zařízením se nabízejí nejnovější kumulativní aktualizace (LCU). Přečtěte si téma Co způsobuje, že zařízení není způsobilé.
Poznámka
Zapnutí aktualizací hotpatch nezmění stávající konfigurace instalace řízené termíny nebo plánované instalace na spravovaných zařízeních. Nastavení odkladu a aktivní hodiny stále platí.
Vrácení aktualizace za chodu
Automatické vrácení zpět aktualizace za chodu není podporováno, ale můžete je odinstalovat. Pokud se setkáte s neočekávaným problémem s aktualizacemi za chodu, můžete provést šetření odinstalací aktualizace hotpatch, instalací nejnovější standardní kumulativní aktualizace (LCU) a restartováním. Odinstalace aktualizace hotpatch je rychlá, ale vyžaduje restartování zařízení.
Sestava aktualizací kvality hotpatch
Po vytvoření zásady aktualizace kvality pro Windows s povolenými aktualizacemi hotpatch můžete monitorovat výsledky, stav nasazení za provozu a chyby ze sestav.
Tato sestava zobrazuje celkový počet cílových zařízení a aktuální stavy aktualizace všech zařízení s povolenou aktualizací za chodu.
Přístup k sestavě:
- V Centru pro správu Microsoft Intune vyberte Sestavy.
- V části Automatické opravy Windows vyberte Aktualizace pro zvýšení kvality Windows.
- Na kartě Sestavy vyberte Sestava aktualizací kvality za chodu.
Řešení potíží s aktualizacemi hotpatch
Krok 1: Před instalací aktualizace hotpatch ověřte, že zařízení má nárok na aktualizace hotpatch a na standardních hodnotách hotpatch.
Aktualizace za chodu se řídí cyklem vydání hotpatch. Projděte si požadavky a ujistěte se, že zařízení má nárok na aktualizace hotpatch. Informace o zařízeních, která nesplňují požadavky, najdete v tématu Nezpůsobilá zařízení.
Nejnovější plán vydávání verzí najdete v poznámkách k verzi hotpatch. Informace o historii aktualizací systému Windows najdete v tématu Windows 11 historie aktualizací verze 24H2.
Krok 2: Ověřte, že zařízení má zapnuté zabezpečení na základě virtualizace (VBS)
- Vyberte Start a do vyhledávacího pole zadejte Systémové informace .
- Ve výsledcích vyberte Systémové informace .
- V části Souhrn systému ve sloupci Položka vyhledejte zabezpečení založené na virtualizaci.
- Ve sloupci Hodnota se ujistěte, že je uvedeno Spuštěno.
Krok 3: Ověřte, že je zařízení správně nakonfigurované tak, aby zapnulo aktualizace hotpatch
- V Intune přejděte na stránku Aktualizace služba služba Windows Update>Quality a zkontrolujte nakonfigurované zásady v rámci automatického opravování Windows a zjistěte, na které skupiny zařízení cílí zásady hotpatch.
- Ujistěte se, že je zásada aktualizace hotpatch nastavená na Povolit.
- Na zařízení vyberteNastavení>Start>služba služba Windows Update>Uvolené možnosti>Nakonfigurované zásady> aktualizací vyhledejte Povolit aktivnípatching, pokud jsou k dispozici. Toto nastavení indikuje, že zařízení je zaregistrované v aktualizacích hotpatch podle konfigurace funkce Automatické opravy systému Windows.
Krok 4: Zakázání zkompilovaného využití hybridního pe (CHPE) (pouze procesor Arm64)
Další informace najdete v tématu Zařízení s Arm 64 musí zakázat kompilované hybridní využití pe (CHPE) (pouze procesor Arm 64)..
Krok 5: Použití Prohlížeče událostí k ověření, že zařízení má zapnuté aktualizace hotpatch
- Klikněte pravým tlačítkem na nabídku Start a vyberte Prohlížeč událostí.
- Ve filtru vyhledejte AllowRebootlessUpdates . Pokud je možnost AllowRebootlessUpdates nastavená na
1, zařízení je zaregistrované v zásadách automatické aktualizace Windows a má zapnuté aktualizace hotpatch:"data": { "payload": "{\"Orchestrator\":{\"UpdatePolicy\":{\"Update/AllowRebootlessUpdates\":true}}}", "isEnrolled": 1, "isCached": 1, "vbsState": 2,
Krok 6: Kontrola chyb hotpatch v protokolech systému Windows
Aktualizace hotpatch poskytují službu monitorování doručené pošty, která kontroluje stav aktualizací nainstalovaných na zařízení. Pokud služba monitorování zjistí chybu, služba zaznamená událost do protokolů aplikací systému Windows. Pokud dojde k závažné chybě, zařízení nainstaluje aktualizaci standardu (LCU), aby bylo zařízení plně zabezpečené.
- Klikněte pravým tlačítkem na nabídku Start a vyberte Prohlížeč událostí.
- Pokud chcete zobrazit protokoly, vyhledejte ve filtru hotpatch .