Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Con las actualizaciones de hotpatch, puede tomar rápidamente medidas para ayudar a proteger su organización del panorama en constante evolución de los ciberataques, a la vez que minimiza las interrupciones del usuario. Las actualizaciones de hotpatch son actualizaciones de seguridad de la versión mensual B que se instalan y surten efecto sin necesidad de reiniciar el dispositivo. Al minimizar la necesidad de reiniciar, estas actualizaciones ayudan a garantizar un cumplimiento más rápido, lo que facilita a las organizaciones mantener la seguridad y mantener los flujos de trabajo ininterrumpidos.
Hotpatch es una extensión de Windows Update y requiere autopatch para crear e implementar hotpatches en dispositivos inscritos en la directiva de actualización de calidad de autopatch.
Ventajas clave
- Las actualizaciones de hotpatch simplifican el proceso de instalación y mejoran la eficiencia del cumplimiento.
- No se requiere ningún cambio en las configuraciones de anillo de actualización existentes. Las configuraciones de anillo existentes se respetan junto con las directivas de hotpatch.
- El informe de actualización de calidad de Hotpatch proporciona una vista por nivel de directiva de los estados de actualización actuales para todos los dispositivos que reciben actualizaciones de Hotpatch.
Requisitos previos
Para beneficiarse de las actualizaciones de Hotpatch, los dispositivos deben cumplir los siguientes requisitos previos:
- Una de las licencias aptas: Windows 11 Empresas E3 o E5, Microsoft 365 F3, Windows 11 Educación A3 o A5, Microsoft 365 Empresa Premium o Windows 365 Enterprise
- Windows 11 Empresas versión 24H2 o posterior
- Los dispositivos deben estar en la versión de versión de línea base más reciente para poder recibir actualizaciones de Hotpatch. Microsoft publica las actualizaciones de línea base trimestralmente como actualizaciones acumulativas estándar. Para obtener más información sobre la programación más reciente de estas versiones, consulte Notas de la versión de Hotpatch.
- Microsoft Intune para administrar la implementación de actualizaciones de hotpatch con la directiva de actualización de calidad de Windows con hotpatch activado.
Requisitos previos de configuración del sistema operativo
Para preparar un dispositivo para recibir actualizaciones de Hotpatch, configure las siguientes opciones de sistema operativo en el dispositivo. Debe configurar estas opciones para que el dispositivo se ofrezca la actualización de Hotpatch y aplicar todas las actualizaciones de Hotpatch.
Seguridad basada en virtualización (VBS)
VBS debe estar activado para que se ofrezcan actualizaciones de Hotpatch a un dispositivo. Para obtener información sobre cómo establecer y detectar si VBS está habilitado, consulte Seguridad basada en virtualización (VBS).
Nota
Es posible que los dispositivos no sean aptos temporalmente porque no tienen VBS habilitado o no están actualmente en la versión de línea base más reciente. Para asegurarse de que todos los dispositivos Windows están configurados correctamente para ser aptos para las actualizaciones de hotpatch, consulte Solución de problemas de actualizaciones de hotpatch.
Los dispositivos Arm 64 deben deshabilitar el uso de PE híbrido compilado (CHPE) (solo CPU de Arm 64)
Nota
Las actualizaciones de hotpatch en dispositivos Arm 64 siguen el mismo ciclo de versión.
Este requisito solo se aplica a los dispositivos de CPU arm 64 cuando se usan actualizaciones de Hotpatch. Las actualizaciones de hotpatch no son compatibles con el mantenimiento de archivos binarios del sistema operativo CHPE ubicados en la %SystemRoot%\SyChpe32 carpeta.
Para asegurarse de que se aplican todas las actualizaciones de Hotpatch, debe establecer la marca de deshabilitación de CHPE y reiniciar el dispositivo para deshabilitar el uso de CHPE. Solo tiene que establecer esta marca una vez. La configuración del Registro permanece aplicada a través de las actualizaciones.
Importante
Esta configuración es necesaria porque obliga al sistema operativo a usar los archivos binarios de emulación solo x86 en lugar de archivos binarios CHPE en dispositivos Arm 64. Los archivos binarios chpe incluyen código nativo de Arm 64 para mejorar el rendimiento, excluyendo los archivos binarios chpe puede afectar al rendimiento o la compatibilidad. Asegúrese de probar la compatibilidad y el rendimiento de las aplicaciones antes de implementar las actualizaciones de Hotpatch ampliamente en dispositivos basados en CPU arm 64.
Para deshabilitar CHPE, cree o establezca la siguiente clave del Registro DWORD: Ruta de acceso: HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management Valor de clave DWORD: HotPatchRestrictions=1
También puede usar el CSP DisableCHPE. Para obtener más información, vea DisableCHPE.
Nota
No hay planes para admitir actualizaciones de hotpatch en dispositivos Arm64 con CHPE habilitado. La deshabilitación de CHPE solo es necesaria para dispositivos Arm64. Las CPU AMD e Intel no tienen CHPE.
Si decide no usar las actualizaciones de Hotpatch, desactive la marca de deshabilitación de CHPE (HotPatchRestrictions=0) y reinicie el dispositivo para activar el uso de CHPE.
Dispositivos no aptos
Los dispositivos que no cumplen uno o varios requisitos previos reciben automáticamente la última actualización acumulativa (LCU) en su lugar. La última actualización acumulativa (LCU) contiene actualizaciones mensuales que reemplazan a las actualizaciones del mes anterior que contienen versiones de seguridad y no relacionadas con la seguridad.
Las LCU requieren que reinicie el dispositivo, pero el LCU garantiza que el dispositivo sigue siendo totalmente seguro y conforme.
Nota
Si los dispositivos no son aptos para las actualizaciones de Hotpatch, se ofrece a estos dispositivos el LCU. El LCU mantiene la configuración del anillo de actualización configurada, no cambia la configuración.
Ciclos de versión
Para obtener más información sobre el calendario de lanzamiento para las actualizaciones de hotpatch, consulte Notas de la versión de Hotpatch.
- Línea base: incluye las correcciones de seguridad más recientes, las nuevas características acumulativas y las mejoras. Se requiere reiniciar.
- Hotpatch: incluye actualizaciones de seguridad. No es necesario reiniciar.
| Cuarto | Actualizaciones de línea base (requiere reinicio) | Hotpatch (no es necesario reiniciar) |
|---|---|---|
| 1 | Enero | Febrero y marzo |
| 2 | Abril | Mayo y junio |
| 3 | Julio | Agosto y septiembre |
| 4 | Octubre | Noviembre y diciembre |
Hotpatch en Windows 11 Empresas o Windows Server 2025
Nota
El hotpatch también está disponible en Windows Server y Windows 365. Para obtener más información, consulte Hotpatch for Windows Server Azure Edition.
Las actualizaciones de revisiones frecuentes son similares entre Windows 11 y Windows Server 2025.
- Windows Autopatch administra las actualizaciones de Windows 11
- Administrador de actualizaciones de Azure y la suscripción opcional de Azure Arc para Windows 2025 Datacenter/Standard Editions (local) administra Windows Server 2025 Datacenter Azure Edition. Para obtener más información, sobre Windows Server y Windows 365, consulte Hotpatch for Windows Server Azure Edition.
Las fechas del calendario, ocho meses de revisión frecuente y cuatro meses de línea base planeados cada año son iguales para todos los sistemas operativos (SO) compatibles con hotpatch. Es posible que haya meses de línea base adicionales para un sistema operativo (por ejemplo, Windows Server 2022), mientras que hay meses de revisión frecuente para otro sistema operativo, como Server 2025 o Windows 11, versión 24H2. Revise las notas de la versión del estado de la versión de Windows para mantenerse al día.
Inscripción de dispositivos para recibir actualizaciones de Hotpatch
Nota
Si usa grupos de revisiones automáticas y quiere que los dispositivos reciban actualizaciones de Hotpatch, debe crear una directiva hotpatch y asignarle dispositivos. Activar las actualizaciones de hotpatch no cambia la configuración de aplazamiento aplicada a los dispositivos dentro de un grupo de revisiones automáticas.
Para inscribir dispositivos para recibir actualizaciones de Hotpatch:
- Vaya al centro de administración de Intune.
- Seleccione Dispositivos en el menú de navegación izquierdo.
- En la sección Administrar actualizaciones , seleccione Actualizaciones de Windows.
- Vaya a la pestaña Actualizaciones de calidad .
- Seleccione Crear y seleccione Directiva de actualización de calidad de Windows.
- En la sección Aspectos básicos , escriba un nombre para la nueva directiva y seleccione Siguiente.
- En la sección Configuración , asegúrese de que la opción "Cuando esté disponible, aplique sin reiniciar el dispositivo ("Hotpatch") esté establecida en Permitir. A continuación, seleccione Siguiente.
- Seleccione las etiquetas de ámbito adecuadas o deje como Predeterminado. A continuación, seleccione Siguiente.
- Asigne los dispositivos a la directiva y seleccione Siguiente.
- Revise la directiva y seleccione Crear.
- También puedes editar la directiva de actualización de calidad de Windows existente y establecer "Cuando esté disponible, aplicar sin reiniciar el dispositivo ("Hotpatch") en Permitir.
Estos pasos garantizan que los dispositivos de destino, que son aptos para recibir actualizaciones de Hotpatch, estén configurados correctamente. Los dispositivos no aptos se ofrecen las últimas actualizaciones acumulativas (LCU).
Nota
Activar las actualizaciones de Hotpatch no cambia las configuraciones de instalación programadas o controladas por fecha límite existentes en los dispositivos administrados. Todavía se aplican los valores de aplazamiento y hora activa.
Reversión de una actualización de hotpatch
No se admite la reversión automática de una actualización de Hotpatch, pero puede desinstalarla. Si experimenta un problema inesperado con las actualizaciones de hotpatch, puede investigar desinstalando la actualización de hotpatch e instalando la última actualización acumulativa estándar (LCU) y reiniciar. La desinstalación de una actualización de hotpatch es rápida, pero requiere un reinicio del dispositivo.
Solución de problemas de actualizaciones de hotpatch
Paso 1: Comprobar que el dispositivo es apto para actualizaciones de hotpatch y en una línea base de hotpatch antes de instalar la actualización de hotpatch
Hotpatching sigue el ciclo de liberación de hotpatch. Revise los requisitos previos para asegurarse de que el dispositivo es apto para las actualizaciones de hotpatch. Para obtener información sobre los dispositivos que no cumplen los requisitos previos, consulte Dispositivos no aptos.
Para obtener la programación de versión más reciente, consulte las notas de la versión de hotpatch. Para obtener información sobre el historial de actualizaciones de Windows, consulta Windows 11, historial de actualizaciones de la versión 24H2.
Paso 2: Comprobar que el dispositivo tiene activada la seguridad basada en virtualización (VBS)
- Seleccione Iniciar y escriba
System informationen La búsqueda. - Seleccione Información del sistema en los resultados.
- En Resumen del sistema, en la columna Elemento, busque Seguridad basada en virtualización.
- En la columna Valor, asegúrese de que indica En ejecución.
Paso 3: Comprobar que el dispositivo está configurado correctamente para activar las actualizaciones de hotpatch
- En Intune, revise las directivas configuradas en Autopatch para ver qué grupos de dispositivos tienen como destino una directiva de hotpatch; para ello, vaya a la página Windows Update>Quality Novedades.
- Asegúrese de que la directiva de actualización de hotpatch está establecida en Permitir.
- En el dispositivo, seleccioneConfiguración> de inicio>Windows Update>Opciones> avanzadas Configure update policies > (Directivas de actualización configuradas) busque Enable hotpatching when available (Habilitar hotpatching cuando esté disponible). Esta configuración indica que el dispositivo está inscrito en actualizaciones de hotpatch según lo configurado por Autopatch.
Paso 4: Deshabilitar el uso de PE híbrido compilado (CHPE) (solo CPU arm64)
Para obtener más información, consulte Dispositivos Arm 64 deben deshabilitar el uso de PE híbrido compilado (CHPE) (solo CPU de Arm 64).
Paso 5: Uso del Visor de eventos para comprobar que el dispositivo tiene las actualizaciones de hotpatch activadas
- Haga clic con el botón derecho en el menú Inicio y seleccione Visor de eventos.
- Busque AllowRebootlessUpdates en el filtro. Si AllowRebootlessUpdates está establecido
1en , el dispositivo se inscribe en la directiva de actualización de revisiones automáticas y tiene activadas las actualizaciones de hotpatch:
"data": { "payload": "{\"Orchestrator\":{\"UpdatePolicy\":{\"Update/AllowRebootlessUpdates\":true}}}", "isEnrolled": 1, "isCached": 1, "vbsState": 2,
Paso 6: Comprobar los registros de Windows para ver si hay errores de acceso frecuente
Las actualizaciones de hotpatch proporcionan un servicio de supervisión de bandeja de entrada que comprueba el estado de las actualizaciones instaladas en el dispositivo. Si el servicio de supervisión detecta un error, el servicio registra un evento en los registros de aplicación de Windows. Si hay un error crítico, el dispositivo instala la actualización estándar (LCU) para asegurarse de que el dispositivo es totalmente seguro.
- Haga clic con el botón derecho en el menú Inicio y seleccione Visor de eventos.
- Busque hotpatch en el filtro para ver los registros.