Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Con gli aggiornamenti hotpatch, è possibile adottare rapidamente misure per proteggere l'organizzazione dall'evoluzione del panorama degli attacchi informatici, riducendo al minimo le interruzioni degli utenti. Gli aggiornamenti hotpatch sono aggiornamenti della sicurezza delle versioni B mensili che vengono installati e applicati senza che sia necessario riavviare il dispositivo. Riducendo al minimo la necessità di riavviare, questi aggiornamenti garantiscono una conformità più rapida, rendendo più semplice per le organizzazioni mantenere la sicurezza mantenendo i flussi di lavoro ininterrotti.
Gli aggiornamenti della sicurezza hotpatch sono abilitati per impostazione predefinita per tutti i dispositivi idonei in Microsoft Intune. Questo approccio consente alle organizzazioni di mantenere la conformità alla sicurezza riducendo al minimo le interruzioni del flusso di lavoro.
È possibile configurare se il hotpatch è abilitato per i dispositivi usando un'impostazione a livello di tenant o criteri di aggiornamento della qualità.
Vantaggi principali
- Sicurezza più veloce: le correzioni di sicurezza hotpatch diventano effettive senza richiedere un riavvio, per garantire la sicurezza dei dispositivi molto più rapidamente.
- Interruzione ridotta: Hotpatch installa gli aggiornamenti della sicurezza idonei senza richiedere un riavvio immediato del dispositivo, consentendo agli utenti di rimanere produttivi.
- Payload più piccoli: le dimensioni del pacchetto hotpatch sono notevolmente inferiori rispetto agli aggiornamenti cumulativi standard.
- Nessuna modifica agli anelli di aggiornamento esistenti: le configurazioni degli anelli di aggiornamento esistenti rimangono attive e vengono rispettate insieme alle configurazioni hotpatch.
- Visibilità a livello di criteri: il report aggiornamenti qualitativi hotpatch fornisce una visualizzazione a livello di criteri dello stato degli aggiornamenti per i dispositivi che ricevono gli aggiornamenti hotpatch.
Prerequisiti
Hotpatch ha gli stessi prerequisiti dei criteri di aggiornamento qualità di Windows. In questa sezione vengono evidenziati i prerequisiti aggiuntivi specifici del hotpatch.
Requisiti di configurazione del dispositivo
Per preparare un dispositivo a ricevere gli aggiornamenti hotpatch, configurare le impostazioni del sistema operativo seguenti nel dispositivo. È necessario configurare queste impostazioni per offrire al dispositivo l'aggiornamento hotpatch e per applicare tutti gli aggiornamenti hotpatch.
Sicurezza basata su virtualizzazione (VBS)
Il servizio Vbs deve essere attivato per offrire aggiornamenti hotpatch a un dispositivo.VBS must be turned on for a device to be offered hotpatch updates. Per informazioni su come impostare e rilevare se VBS è abilitato, vedere Virtualization-based Security (VBS).For information on how to set and detect if VBS is enabled, see Virtualization-based Security (VBS).Nota
I dispositivi potrebbero non essere idonei temporaneamente perché non hanno VBS abilitato o non sono attualmente nella versione di base più recente. Per assicurarsi che tutti i dispositivi Windows siano configurati correttamente per essere idonei per gli aggiornamenti hotpatch, vedere Risolvere i problemi relativi agli aggiornamenti hotpatch.
È anche possibile trovare lo stato VBS negli avvisi e nella correzione automatica con l'avviso Hotpatch - VBS non in esecuzione.
I dispositivi Arm 64 devono disabilitare l'utilizzo ibrido compilato di PE (CHPE) (solo CPU Arm 64)
Per assicurarsi che vengano applicati tutti gli aggiornamenti hotpatch, è necessario impostare il flag di disabilitazione CHPE ( Compiled Hybrid Portable Executable ) e riavviare il dispositivo per disabilitare l'utilizzo di CHPE. È sufficiente impostare questo flag una sola volta. L'impostazione del Registro di sistema rimane applicata tramite gli aggiornamenti.
Questo requisito si applica solo ai dispositivi CPU Arm 64 quando si usano gli aggiornamenti hotpatch. Gli aggiornamenti hotpatch non sono compatibili con i file binari del sistema operativo CHPE di manutenzione.
Per disabilitare CHPE, creare e/o impostare la chiave del Registro di sistema DWORD seguente:
Percorso:
HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management DWORD key value: HotPatchRestrictions=1Per altre informazioni su CHPE, vedere qui
Nota
Non è previsto il supporto degli aggiornamenti hotpatch nei dispositivi Arm64 con CHPE abilitato. La disabilitazione di CHPE è necessaria solo per i dispositivi Arm64. LE CPU AMD e Intel non hanno CHPE. Se si sceglie di non usare più gli aggiornamenti hotpatch, deselezionare il flag di disabilitazione CHPE (
HotPatchRestrictions=0), quindi riavviare il dispositivo per attivare l'utilizzo di CHPE.
Dispositivi non idonei
I dispositivi che non soddisfano uno o più prerequisiti ricevono invece automaticamente l'aggiornamento cumulativo più recente. L'aggiornamento cumulativo più recente (LCU) contiene aggiornamenti mensili che sostituiscono gli aggiornamenti del mese precedente contenenti versioni di sicurezza e non di sicurezza.
Le unità LCU richiedono il riavvio del dispositivo, ma la LCU garantisce che il dispositivo rimanga completamente sicuro e conforme.
Nota
Se i dispositivi non sono idonei per gli aggiornamenti hotpatch, a questi dispositivi viene offerta la LCU. L'LCU mantiene le impostazioni dell'anello di aggiornamento configurate, ma non modifica le impostazioni.
Cicli di rilascio
Per altre informazioni sul calendario delle versioni per gli aggiornamenti hotpatch, vedere Note sulla versione per hotpatch.
- Baseline: include le correzioni di sicurezza più recenti, le nuove funzionalità cumulative e i miglioramenti. Riavvio necessario.
- Hotpatch: include gli aggiornamenti della sicurezza. Non è necessario riavviare.
| Quarto | Aggiornamenti di base (è necessario riavviare) | Hotpatch (nessun riavvio richiesto) |
|---|---|---|
| 1 | Gennaio | Febbraio e marzo |
| 2 | Aprile | Maggio e giugno |
| 3 | Luglio | Agosto e settembre |
| 4 | Ottobre | Novembre e dicembre |
Durante un mese di hotpatch, se un dispositivo dispone di aggiornamenti hotpatch abilitati ma non è disponibile nell'aggiornamento di base più recente, il dispositivo riceverà sia l'aggiornamento di base più recente (riavvio necessario) che l'aggiornamento hotpatch più recente.
Nota
L'aggiornamento di un dispositivo registrato con hotpatch alla versione più recente di Windows (ad esempio l'aggiornamento da Windows 11 versione 24H2 a Windows 11, versione 25H2) durante un mese di base mantiene il dispositivo nel ciclo hotpatch e il dispositivo continua a ricevere gli aggiornamenti hotpatch senza problemi. Tuttavia, l'aggiornamento di un dispositivo alla versione più recente di Windows in un mese hotpatch passa al dispositivo agli aggiornamenti standard; è necessario riavviare il dispositivo per applicare l'aggiornamento fino alla versione di base successiva.
Hotpatch su Windows 11 Enterprise o Windows Server 2025
Nota
Hotpatch è disponibile anche su Windows Server e Windows 365. Per altre informazioni, vedere Hotpatch for Windows Server Azure Edition.
Gli aggiornamenti hotpatch sono simili tra Windows 11 e Windows Server 2025.
- Windows Autopatch gestisce gli aggiornamenti Windows 11
- Gestore aggiornamenti di Azure e la sottoscrizione facoltativa Azure Arc per Windows 2025 Datacenter/Standard Editions (locale) gestisce Windows Server 2025 Datacenter Azure Edition.
Le date del calendario, otto mesi di hotpatch e quattro mesi di base, pianificate ogni anno, sono le stesse per tutti i sistemi operativi supportati da hotpatch. È possibile per mesi di base aggiuntivi per un sistema operativo (ad esempio, Windows Server 2022), mentre sono previsti mesi di hotpatch per un altro sistema operativo, ad esempio Server 2025 o Windows 11 versione 24H2. Esaminare le note sulla versione dell'integrità delle versioni di Windows per rimanere aggiornati.
Registrare i dispositivi per ricevere gli aggiornamenti hotpatch
È possibile abilitare gli aggiornamenti hotpatch per i dispositivi usando un'impostazione a livello di tenant o criteri di aggiornamento qualità. L'impostazione a livello di tenant è l'impostazione predefinita applicata ai dispositivi che non sono membri di un criterio di aggiornamento qualità. Se un dispositivo viene assegnato a un criterio di aggiornamento qualità, l'impostazione hotpatch di tale criterio è quella applicata.
Impostazione predefinita del tenant hotpatch
L'impostazione tenant predefinita viene applicata solo ai dispositivi che non sono membri di un criterio di aggiornamento qualità.
Windows Autopatch rispetta la configurazione dei criteri di aggiornamento qualità. Se un dispositivo è assegnato a uno di questi criteri, l'impostazione hotpatch di tale criterio è quella applicata.
Configurare il comportamento di aggiornamento hotpatch predefinito per il tenant come indicato di seguito:
- Nell'interfaccia di amministrazione Microsoft Intune selezionare Amministrazione> tenantGestione tenant diWindows Autopatch>.
- Selezionare la scheda Impostazioni tenant .
- Attivare o disattivare l'impostazione Quando disponibile, applicare gli aggiornamenti senza riavviare il dispositivo ("hotpatch") su Consenti o Blocca.
Configurare hotpatch usando i criteri di aggiornamento della qualità.
Windows Autopatch rispetta la configurazione dell'impostazione hotpatch nei criteri di aggiornamento qualità. Se un dispositivo è assegnato a uno di questi criteri, l'impostazione hotpatch di tale criterio è quella applicata, non l'impostazione predefinita del tenant.
Per registrare i dispositivi per ricevere gli aggiornamenti hotpatch:
- Nell'interfaccia di amministrazione Microsoft Intune selezionare Dispositivi>Aggiornamenti di Windows.
- Selezionare la scheda Aggiornamenti qualitativi .
- Selezionare Crea e selezionare Criteri di aggiornamento qualità windows.
- Nella sezione Informazioni di base immettere un nome per il nuovo criterio e selezionare Avanti.
- Nella sezione Impostazioni impostare Quando disponibile, applicare senza riavviare il dispositivo ("hotpatch") su Consenti. Selezionare quindi Avanti.
- Selezionare i tag di ambito appropriati o lasciare predefinito. Selezionare quindi Avanti.
- Assegnare i dispositivi ai criteri e selezionare Avanti.
- Esaminare i criteri e selezionare Crea.
Questi passaggi garantiscono che i dispositivi di destinazione, idonei a ricevere gli aggiornamenti hotpatch, siano configurati correttamente. Ai dispositivi non idonei vengono offerti gli aggiornamenti cumulativi più recenti.Ineligible devices are offered the latest cumulative updates (LCU).
Nota
L'attivazione degli aggiornamenti hotpatch non modifica le configurazioni di installazione pianificate o basate su scadenza esistenti nei dispositivi gestiti. Le impostazioni relative al rinvio e all'ora attiva sono ancora valide.
Eseguire il rollback di un aggiornamento hotpatch
Il rollback automatico di un aggiornamento hotpatch non è supportato, ma è possibile disinstallarli. Se si verifica un problema imprevisto con gli aggiornamenti hotpatch, è possibile analizzare disinstallando l'aggiornamento hotpatch e installando l'aggiornamento cumulativo standard più recente e riavviandolo. La disinstallazione di un aggiornamento hotpatch è rapida, tuttavia richiede un riavvio del dispositivo.
Report aggiornamenti qualitativi hotpatch
Dopo aver creato un criterio di aggiornamento della qualità di Windows con gli aggiornamenti hotpatch abilitati, è possibile monitorare i risultati, lo stato della distribuzione con hotpatch e gli errori dei report.
Questo report mostra il totale dei dispositivi di destinazione e gli stati di aggiornamento correnti di tutti i dispositivi abilitati per l'aggiornamento hotpatch.
Per accedere al report:
- Nell'interfaccia di amministrazione Microsoft Intune selezionare Report
- Nella sezione Windows Autopatch selezionare Aggiornamenti qualitativi di Windows
- Nella scheda Report selezionare Report aggiornamenti qualitativi hotpatch.
Risolvere i problemi relativi agli aggiornamenti hotpatch
Passaggio 1: Verificare che il dispositivo sia idoneo per gli aggiornamenti hotpatch e in una baseline di hotpatch prima dell'installazione dell'aggiornamento hotpatch
L'hotpatching segue il ciclo di rilascio della hotpatch. Esaminare i prerequisiti per assicurarsi che il dispositivo sia idoneo per gli aggiornamenti hotpatch. Per informazioni sui dispositivi che non soddisfano i prerequisiti, vedere Dispositivi non idonei.
Per la pianificazione della versione più recente, vedere le note sulla versione hotpatch. Per informazioni sulla cronologia degli aggiornamenti di Windows, vedere Windows 11 cronologia degli aggiornamenti versione 24H2.
Passaggio 2: Verificare che nel dispositivo sia attivata la sicurezza basata su virtualizzazione (VBS)
- Selezionare Avvia e immettere Informazioni di sistema nella ricerca.
- Selezionare Informazioni di sistema dai risultati.
- In Riepilogo sistema, nella colonna Elemento individuare Sicurezza basata su virtualizzazione.
- Nella colonna Valore verificare che sia in esecuzione.
Passaggio 3: Verificare che il dispositivo sia configurato correttamente per attivare gli aggiornamenti hotpatch
- In Intune esaminare i criteri configurati all'interno di Windows Autopatch per vedere quali gruppi di dispositivi sono destinati a un criterio di hotpatch passando alla pagina Windows Update>Quality Aggiornamenti.
- Assicurarsi che il criterio di aggiornamento hotpatch sia impostato su Consenti.
- Nel dispositivo selezionareImpostazioni>di avvio>Windows Update>Opzioni> avanzateCriteri di aggiornamento> configurati trovare Abilita hotpatching quando disponibile. Questa impostazione indica che il dispositivo è registrato negli aggiornamenti hotpatch configurati da Windows Autopatch.
Passaggio 4: Disabilitare l'utilizzo di PE ibrido compilato (CHPE) (solo CPU Arm64)
Per altre informazioni, vedere Arm 64 devices must disable compiled hybrid PE usage (CHPE) (Arm 64 CPU Only).
Passaggio 5: Usare visualizzatore eventi per verificare che il dispositivo abbia attivato gli aggiornamenti hotpatch
- Fare clic con il pulsante destro del mouse sul menu Start e scegliere Visualizzatore eventi.
- Cercare AllowRebootlessUpdates nel filtro. Se AllowRebootlessUpdates è impostato su
1, il dispositivo viene registrato nei criteri di aggiornamento di Windows Autopatch e gli aggiornamenti hotpatch sono attivati:"data": { "payload": "{\"Orchestrator\":{\"UpdatePolicy\":{\"Update/AllowRebootlessUpdates\":true}}}", "isEnrolled": 1, "isCached": 1, "vbsState": 2,
Passaggio 6: Controllare i log di Windows per eventuali errori di hotpatch
Gli aggiornamenti hotpatch forniscono un servizio di monitoraggio della posta in arrivo che controlla l'integrità degli aggiornamenti installati nel dispositivo. Se il servizio di monitoraggio rileva un errore, il servizio registra un evento nei log delle applicazioni di Windows. Se si verifica un errore critico, il dispositivo installa l'aggiornamento standard (LCU) per assicurarsi che il dispositivo sia completamente sicuro.
- Fare clic con il pulsante destro del mouse sul menu Start e scegliere Visualizzatore eventi.
- Cercare hotpatch nel filtro per visualizzare i log.