Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Mit Hotpatch-Updates können Sie schnell Maßnahmen ergreifen, um Ihre organization vor der sich entwickelnden Landschaft von Cyberangriffen zu schützen und gleichzeitig Benutzerunterbrechungen zu minimieren. Hotpatch-Updates sind monatliche B-Sicherheitsupdates , die installiert und wirksam werden, ohne dass Sie das Gerät neu starten müssen. Durch die Minimierung der Notwendigkeit eines Neustarts tragen diese Updates dazu bei, die Compliance zu beschleunigen, sodass Organisationen die Aufrechterhaltung der Sicherheit bei gleichzeitiger Unterbrechung von Workflows erleichtern.
Hotpatch-Sicherheitsupdates sind standardmäßig für alle berechtigten Geräte in Microsoft Intune aktiviert. Dieser Ansatz hilft Organisationen dabei, die Sicherheitskonformität aufrechtzuerhalten und gleichzeitig Workflowunterbrechungen zu minimieren.
Sie können konfigurieren, ob Hotpatch für Ihre Geräte aktiviert ist, indem Sie entweder eine Einstellung auf Mandantenebene oder Qualitätsupdaterichtlinien verwenden.
Hauptvorteile
- Schnellere Sicherheit: Hotpatch-Sicherheitskorrekturen werden ohne Neustart wirksam, sodass Geräte viel schneller geschützt werden.
- Reduzierte Unterbrechung: Hotpatch installiert berechtigte Sicherheitsupdates, ohne dass ein sofortiger Geräteneustart erforderlich ist, sodass Benutzer produktiv bleiben können.
- Kleinere Nutzlasten: Die Größe des Hotpatch-Pakets ist deutlich kleiner als die kumulativen Standardupdates.
- Keine Änderungen an vorhandenen Updateringen: Vorhandene Updateringkonfigurationen bleiben in Kraft und werden neben Hotpatchkonfigurationen berücksichtigt.
- Sichtbarkeit auf Richtlinienebene: Der Hotpatch-Qualitätsupdatebericht bietet eine Ansicht der Update-status auf Richtlinienebene für Geräte, die Hotpatch-Updates erhalten.
Voraussetzungen
Hotpatch hat die gleichen Voraussetzungen wie Windows-Qualitätsupdaterichtlinien. In diesem Abschnitt werden zusätzliche Voraussetzungen speziell für hotpatch erläutert.
Gerätekonfigurationsanforderungen
Um ein Gerät für den Empfang von Hotpatch-Updates vorzubereiten, konfigurieren Sie die folgenden Betriebssystemeinstellungen auf dem Gerät. Sie müssen diese Einstellungen konfigurieren, damit dem Gerät das Hotpatch-Update angeboten wird und alle Hotpatch-Updates angewendet werden.
Virtualisierungsbasierte Sicherheit (VBS)
VBS muss aktiviert sein, damit einem Gerät Hotpatch-Updates angeboten werden können. Informationen zum Festlegen und Erkennen, ob VBS aktiviert ist, finden Sie unter Virtualisierungsbasierte Sicherheit (VBS).Hinweis
Geräte sind möglicherweise vorübergehend nicht berechtigt, da VBS nicht aktiviert ist oder derzeit nicht im neuesten Baselinerelease enthalten ist. Informationen dazu, dass alle Ihre Windows-Geräte ordnungsgemäß so konfiguriert sind, dass sie für Hotpatch-Updates geeignet sind, finden Sie unter Problembehandlung für Hotpatch-Updates.
Sie finden VBS-status auch unter Automatisches Patchen von Warnungen und Wartung mit warnungsinternem Hotpatch – VBS wird nicht ausgeführt.
Arm 64-Geräte müssen die kompilierte Hybrid PE-Nutzung (CHPE) deaktivieren (nur Arm 64-CPU)
Um sicherzustellen, dass alle Hotpatch-Updates angewendet werden, müssen Sie das CHPE-Deaktivierungsflag (Compiled Hybrid Portable Executable ) festlegen und das Gerät neu starten, um die CHPE-Verwendung zu deaktivieren. Sie müssen dieses Flag nur einmal festlegen. Die Registrierungseinstellung wird weiterhin über Updates angewendet.
Diese Anforderung gilt nur für Arm 64-CPU-Geräte, wenn Hotpatch-Updates verwendet werden. Hotpatch-Updates sind nicht mit der Wartung von CHPE-Betriebssystembinärdateien kompatibel.
Um CHPE zu deaktivieren, erstellen Und/oder legen Sie den folgenden DWORD-Registrierungsschlüssel fest:
Pfad:
HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management DWORD key value: HotPatchRestrictions=1Weitere Informationen zu CHPE finden Sie hier.
Hinweis
Es ist nicht geplant, Hotpatch-Updates auf Arm64-Geräten mit aktiviertem CHPE zu unterstützen. Das Deaktivieren von CHPE ist nur für Arm64-Geräte erforderlich. AMD- und Intel-CPUs verfügen nicht über CHPE. Wenn Sie keine Hotpatch-Updates mehr verwenden möchten, deaktivieren Sie das CHPE-Deaktivierungsflag (
HotPatchRestrictions=0), und starten Sie dann das Gerät neu, um die CHPE-Nutzung zu aktivieren.
Nicht berechtigte Geräte
Geräte, die eine oder mehrere Voraussetzungen nicht erfüllen, erhalten stattdessen automatisch das neueste kumulative Update (LCU). Neuestes kumulatives Update (LCU) enthält monatliche Updates, die die Updates des Vorherigen Monats ersetzen, die sowohl Sicherheitsversionen als auch nicht sicherheitsrelevante Versionen enthalten.
LCUs erfordern, dass Sie das Gerät neu starten, aber die LCU stellt sicher, dass das Gerät vollständig sicher und konform bleibt.
Hinweis
Wenn Geräte nicht für Hotpatch-Updates berechtigt sind, wird diesen Geräten die LCU angeboten. Die LCU behält ihre konfigurierten Einstellungen für den Updatering bei, die Einstellungen werden nicht geändert.
Releasezyklen
Weitere Informationen zum Releasekalender für Hotpatch-Updates finden Sie unter Versionshinweise für Hotpatch.
- Baseline: Enthält die neuesten Sicherheitskorrekturen, kumulativen neuen Features und Verbesserungen. Neustart erforderlich.
- Hotpatch: Enthält Sicherheitsupdates. Kein Neustart erforderlich.
| Quartal | Baselineupdates (Neustart erforderlich) | Hotpatch (kein Neustart erforderlich) |
|---|---|---|
| 1 | Januar | Februar und März |
| 2 | April | Mai und Juni |
| 3 | Juli | August und September |
| 4 | Oktober | November und Dezember |
Wenn während eines Hotpatchmonats auf einem Gerät Hotpatch-Updates aktiviert sind, sich aber nicht auf dem neuesten Baselineupdate befindet, erhält das Gerät sowohl das neueste Baselineupdate (Neustart erforderlich) als auch das neueste Hotpatch-Update.
Hinweis
Das Upgrade eines hotpatch-registrierten Geräts auf die neueste Windows-Version (z. B. Ein Upgrade von Windows 11, Version 24H2 auf Windows 11, Version 25H2) während eines Baselinemonats hält das Gerät im Hotpatch-Zyklus, und das Gerät empfängt die Hotpatch-Updates nahtlos. Wenn ein Gerät jedoch in einem Hotpatch-Monat auf die neueste Windows-Version aktualisiert wird, wird das Gerät auf Standardupdates umgestellt. Sie müssen das Gerät neu starten, um das Update bis zur nächsten Baselineversion anzuwenden.
Hotpatch am Windows 11 Enterprise oder Windows Server 2025
Hinweis
Hotpatch ist auch auf Windows Server und Windows 365 verfügbar. Weitere Informationen finden Sie unter Hotpatch für Windows Server Azure Edition.
Hotpatch-Updates sind zwischen Windows 11 und Windows Server 2025 ähnlich.
- Windows Autopatch verwaltet Windows 11 Updates
- Azure Update Manager und optional Azure Arc-Abonnement für Windows 2025 Datacenter/Standard Editionen (lokal) verwaltet Windows Server 2025 Datacenter Azure Edition.
Die Kalenderdaten, acht Hotpatch-Monate und vier Basismonate, die pro Jahr geplant sind, sind für alle hotpatch-unterstützten Betriebssysteme identisch. Es ist möglich, dass zusätzliche Baselinemonate für ein Betriebssystem (z. B. Windows Server 2022) vorhanden sind, während es für ein anderes Betriebssystem Hotpatch-Monate gibt, z. B. Server 2025 oder Windows 11, Version 24H2. Lesen Sie die Versionshinweise von Windows Release Health , um auf dem neuesten Stand zu bleiben.
Registrieren von Geräten für den Empfang von Hotpatch-Updates
Sie können Hotpatch-Updates für Ihre Geräte mithilfe einer Einstellung auf Mandantenebene oder Qualitätsupdaterichtlinien aktivieren. Die Einstellung auf Mandantenebene ist die Standardeinstellung, die auf Geräte angewendet wird, die keine Mitglieder einer Qualitätsupdaterichtlinie sind. Wenn ein Gerät einer Qualitätsupdaterichtlinie zugewiesen ist, wird die Hotpatch-Einstellung aus dieser Richtlinie angewendet.
Standardeinstellung für Hotpatchmandanten
Die Standardmandanteneinstellung wird nur auf Geräte angewendet, die keine Mitglieder einer Qualitätsupdaterichtlinie sind.
Windows Autopatch respektiert Ihre Konfiguration von Richtlinien für Qualitätsupdates. Wenn ein Gerät einer dieser Richtlinien zugewiesen ist, wird die Hotpatch-Einstellung aus dieser Richtlinie angewendet.
Konfigurieren Sie das Standardverhalten für Hotpatchupdates für Ihren Mandanten wie folgt:
- Wählen Sie im Microsoft Intune Admin CenterMandantenverwaltung>Windows Autopatch>Mandantenverwaltung aus.
- Wählen Sie die Registerkarte Mandanteneinstellungen aus.
- Schalten Sie die Einstellung Wenn verfügbar Updates anwenden, ohne das Gerät neu zu starten ("Hotpatch") auf Zulassen oder Blockieren um.
Konfigurieren Sie Hotpatch mithilfe von Richtlinien für Qualitätsupdates.
Windows Autopatch respektiert Ihre Konfiguration der Hotpatch-Einstellung in Richtlinien für Qualitätsupdates. Wenn ein Gerät einer dieser Richtlinien zugewiesen ist, ist die Hotpatch-Einstellung aus dieser Richtlinie die angewendete, nicht die Standardeinstellung des Mandanten.
So registrieren Sie Geräte für den Empfang von Hotpatch-Updates:
- Wählen Sie im Microsoft Intune Admin CenterGeräte>Windows-Updates aus.
- Wählen Sie die Registerkarte Qualitätsupdates aus.
- Wählen Sie Erstellen und dann Windows-Qualitätsupdaterichtlinie aus.
- Geben Sie im Abschnitt Grundlagen einen Namen für Ihre neue Richtlinie ein, und wählen Sie Weiter aus.
- Legen Sie im Abschnitt Einstellungen die Option Wenn verfügbar, ohne Neustart des Geräts anwenden ("Hotpatch") auf Zulassen fest. Klicken Sie dann auf Weiter.
- Wählen Sie die entsprechenden Bereichstags aus, oder übernehmen Sie die Einstellung Standard. Klicken Sie dann auf Weiter.
- Weisen Sie die Geräte der Richtlinie zu, und wählen Sie Weiter aus.
- Überprüfen Sie die Richtlinie, und wählen Sie Erstellen aus.
Mit diesen Schritten wird sichergestellt, dass Zielgeräte, die zum Empfangen von Hotpatch-Updates berechtigt sind, ordnungsgemäß konfiguriert sind. Nicht berechtigte Geräte werden mit den neuesten kumulativen Updates (LCU) angeboten.
Hinweis
Durch das Aktivieren von Hotpatch-Updates werden die vorhandenen termingesteuerten oder geplanten Installationskonfigurationen auf Ihren verwalteten Geräten nicht geändert. Die Einstellungen für Zurückstellung und aktive Stunde gelten weiterhin.
Zurücksetzen eines Hotpatchupdates
Das automatische Rollback eines Hotpatch-Updates wird nicht unterstützt, sie können jedoch deinstalliert werden. Wenn ein unerwartetes Problem mit Hotpatch-Updates auftritt, können Sie dies untersuchen, indem Sie das Hotpatch-Update deinstallieren und das neueste kumulative Standardupdate (Standard Cumulative Update, LCU) installieren und neu starten. Das Deinstallieren eines Hotpatch-Updates ist schnell, erfordert jedoch einen Geräteneustart.
Hotpatch-Qualitätsupdatebericht
Nachdem eine Windows-Qualitätsupdaterichtlinie mit aktivierten Hotpatchupdates erstellt wurde, können Sie Ergebnisse, Hotpatchbereitstellungen status und Fehler aus den Berichten überwachen.
In diesem Bericht werden die Gesamtanzahl der Zielgeräte und der aktuelle Updatestatus aller Hotpatchupdates aktivierten Geräte angezeigt.
So greifen Sie auf den Bericht zu:
- Wählen Sie im Microsoft Intune Admin Centerberichte aus.
- Wählen Sie im Abschnitt Windows Autopatch die Option Windows-Qualitätsupdates aus.
- Wählen Sie auf der Registerkarte Berichte die Option Hotpatch-Qualitätsupdatebericht aus.
Problembehandlung für Hotpatch-Updates
Schritt 1: Überprüfen Sie, ob das Gerät für Hotpatch-Updates und eine Hotpatch-Baseline geeignet ist, bevor das Hotpatch-Update installiert wird.
Hotpatching folgt dem Hotpatch-Releasezyklus. Überprüfen Sie die Voraussetzungen, um sicherzustellen, dass das Gerät für Hotpatch-Updates geeignet ist. Informationen zu Geräten, die die Voraussetzungen nicht erfüllen, finden Sie unter Nicht berechtigte Geräte.
Den neuesten Releasezeitplan finden Sie in den Hotpatch-Versionshinweisen. Informationen zum Windows-Updateverlauf finden Sie unter Windows 11 Updateverlauf der Version 24H2.
Schritt 2: Überprüfen, ob auf dem Gerät virtualisierungsbasierte Sicherheit (VBS) aktiviert ist
- Wählen Sie Start aus, und geben Sie Systeminformationen in die Suche ein.
- Wählen Sie in den Ergebnissen Systeminformationen aus.
- Suchen Sie unter Systemzusammenfassung in der Spalte Element nach Virtualisierungsbasierte Sicherheit.
- Stellen Sie sicher, dass in der Spalte Wertder Status Wird ausgeführt angezeigt wird.
Schritt 3: Überprüfen, ob das Gerät ordnungsgemäß konfiguriert ist, um Hotpatch-Updates zu aktivieren
- Überprüfen Sie Intune Ihre konfigurierten Richtlinien in Windows Autopatch, um zu sehen, für welche Gerätegruppen eine Hotpatch-Richtlinie gelten, indem Sie zur Seite Windows Update>Quality Updates wechseln.
- Stellen Sie sicher, dass die Hotpatch-Updaterichtlinie auf Zulassen festgelegt ist.
- Wählen Sie auf dem Gerät Starteinstellungen>>aus Windows Update>Erweiterte Optionen>Konfigurierte Updaterichtlinien> finden Sie unter Hotpatching aktivieren, wenn verfügbar. Diese Einstellung gibt an, dass das Gerät bei Hotpatch-Updates registriert ist, wie von Windows Autopatch konfiguriert.
Schritt 4: Deaktivieren der kompilierten Hybrid PE-Nutzung (CHPE) (nur Arm64-CPU)
Weitere Informationen finden Sie unter Arm 64-Geräte müssen die kompilierte Hybrid PE-Nutzung (CHPE) deaktivieren (nur Arm 64-CPU).
Schritt 5: Verwenden der Ereignisanzeige, um sicherzustellen, dass auf dem Gerät Hotpatch-Updates aktiviert sind
- Klicken Sie mit der rechten Maustaste auf das Startmenü, und wählen Sie Ereignisanzeige aus.
- Suchen Sie im Filter nach AllowRebootlessUpdates . Wenn AllowRebootlessUpdates auf
1festgelegt ist, wird das Gerät in der Windows Autopatch-Updaterichtlinie registriert und hotpatch-Updates aktiviert:"data": { "payload": "{\"Orchestrator\":{\"UpdatePolicy\":{\"Update/AllowRebootlessUpdates\":true}}}", "isEnrolled": 1, "isCached": 1, "vbsState": 2,
Schritt 6: Überprüfen von Windows-Protokollen auf Hotpatch-Fehler
Hotpatch-Updates stellen einen Posteingangsüberwachungsdienst bereit, der die Integrität der auf dem Gerät installierten Updates überprüft. Wenn der Überwachungsdienst einen Fehler erkennt, protokolliert der Dienst ein Ereignis in den Windows-Anwendungsprotokollen. Wenn ein kritischer Fehler auftritt, installiert das Gerät das Standardupdate (LCU), um sicherzustellen, dass das Gerät vollständig sicher ist.
- Klicken Sie mit der rechten Maustaste auf das Startmenü, und wählen Sie Ereignisanzeige aus.
- Suchen Sie im Filter nach Hotpatch , um die Protokolle anzuzeigen.