Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Com as atualizações de acesso frequente, pode tomar medidas rapidamente para ajudar a proteger a sua organização do panorama em evolução dos ciberataques, ao mesmo tempo que minimiza as perturbações dos utilizadores. As atualizações de hotpatch são atualizações de segurança de versão B mensais que instalam e produzem efeitos sem que tenha de reiniciar o dispositivo. Ao minimizar a necessidade de reiniciar, estas atualizações ajudam a garantir uma conformidade mais rápida, tornando mais fácil para as organizações manter a segurança, mantendo os fluxos de trabalho ininterruptos.
As atualizações de segurança hotpatch estão ativadas por predefinição para todos os dispositivos elegíveis no Microsoft Intune. Esta abordagem ajuda as organizações a manter a conformidade de segurança enquanto minimizam as interrupções do fluxo de trabalho.
Pode configurar se a correção de acesso está ativada para os seus dispositivos através de uma definição ao nível do inquilino ou políticas de atualização de qualidade.
Principais benefícios
- Segurança mais rápida: as correções de segurança hotpatch produzem efeitos sem que seja necessário reiniciar, o que faz com que os dispositivos sejam protegidos muito mais rapidamente.
- Interrupção reduzida: o Hotpatch instala atualizações de segurança elegíveis sem precisar de um reinício imediato do dispositivo, ajudando os utilizadores a manterem-se produtivos.
- Payloads mais pequenos: o tamanho do pacote Hotpatch é significativamente menor do que as atualizações cumulativas padrão.
- Não existem alterações às cadências de atualização existentes: as configurações da cadência de atualização existentes permanecem em vigor e são honradas juntamente com as configurações de acesso frequente.
- Visibilidade ao nível da política: o relatório de atualizações de qualidade do hotpatch fornece uma vista ao nível da política do status de atualização para dispositivos que recebem atualizações de acesso frequente.
Pré-requisitos
O Hotpatch tem os mesmos pré-requisitos que as políticas de atualização de qualidade do Windows. Esta secção realça os pré-requisitos adicionais específicos do hotpatch.
Requisitos de configuração do dispositivo
Para preparar um dispositivo para receber atualizações de acesso frequente, configure as seguintes definições do sistema operativo no dispositivo. Tem de configurar estas definições para que seja disponibilizada ao dispositivo a atualização de acesso frequente e para aplicar todas as atualizações de acesso frequente.
Segurança baseada em virtualização (VBS)
A VBS tem de estar ativada para que seja disponibilizada atualizações de acesso frequente a um dispositivo. Para obter informações sobre como definir e detetar se o VBS está ativado, veja Virtualization-based Security (VBS).Observação
Os dispositivos podem ser temporariamente inelegíveis porque não têm o VBS ativado ou não estão atualmente na versão de linha de base mais recente. Para garantir que todos os seus dispositivos Windows estão configurados corretamente para serem elegíveis para atualizações de acesso frequente, veja Resolver problemas de atualizações de acesso frequente.
Também pode encontrar status VBS em Alertas de correção automática e remediação com o alerta Hotpatch – VBS não em execução.
Os dispositivos Arm 64 têm de desativar a utilização híbrida de PE (CHPE) compilada (Apenas CPU do Arm 64)
Para garantir que todas as atualizações de acesso frequente são aplicadas, tem de definir o sinalizador Compiled Hybrid Portable Executable (CHPE) para desativar e reiniciar o dispositivo para desativar a utilização do CHPE. Só tem de definir este sinalizador uma vez. A definição de registo permanece aplicada através de atualizações.
Este requisito aplica-se apenas a dispositivos de CPU arm 64 ao utilizar atualizações de acesso frequente. As atualizações de hotpatch não são compatíveis com a manutenção dos binários do SO CHPE.
Para desativar o CHPE, crie e/ou defina a seguinte chave de registo DWORD:
Caminho:
HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management DWORD key value: HotPatchRestrictions=1Para saber mais sobre o CHPE, consulte aqui
Observação
Não existem planos para suportar atualizações de acesso frequente em dispositivos Arm64 com CHPE ativado. A desativação do CHPE só é necessária para dispositivos Arm64. As CPUs AMD e Intel não têm CHPE. Se optar por deixar de utilizar atualizações de acesso frequente, desmarque o sinalizador CHPE disable () e
HotPatchRestrictions=0, em seguida, reinicie o dispositivo para ativar a utilização chpe.
Dispositivos não elegíveis
Em vez disso, os dispositivos que não cumprem um ou mais pré-requisitos recebem automaticamente a Atualização Cumulativa Mais Recente (LCU). A Atualização Cumulativa Mais Recente (LCU) contém atualizações mensais que substituem as atualizações do mês anterior que contêm versões de segurança e não relacionadas com segurança.
As LCUs requerem que reinicie o dispositivo, mas a LCU garante que o dispositivo permanece totalmente seguro e em conformidade.
Observação
Se os dispositivos não forem elegíveis para atualizações de acesso frequente, estes dispositivos são oferecidos à LCU. A LCU mantém as definições configuradas da Cadência de atualização, não altera as definições.
Ciclos de lançamento
Para obter mais informações sobre o calendário de lançamento para atualizações de acesso frequente, consulte Notas de versão do hotpatch.
- Linha base: inclui as correções de segurança mais recentes, novas funcionalidades cumulativas e melhoramentos. É necessário reiniciar.
- Hotpatch: inclui atualizações de segurança. Não é necessário reiniciar.
| Trimestre | Atualizações da linha de base (requer reinício) | Correção (não é necessário reiniciar) |
|---|---|---|
| 1 | Janeiro | Fevereiro e Março |
| 2 | Abril | Maio e Junho |
| 3 | Julho | Agosto e Setembro |
| 4 | Outubro | Novembro e Dezembro |
Durante um mês de atualização, se um dispositivo tiver atualizações de acesso frequente ativadas, mas não estiver na atualização de linha de base mais recente, o dispositivo receberá a atualização de linha de base mais recente (reinício necessário) e a atualização mais recente do hotpatch.
Observação
Atualizar um dispositivo inscrito de acesso frequente para a versão mais recente do Windows (por exemplo, atualizar de Windows 11, versão 24H2 para Windows 11, versão 25H2) durante um mês de linha de base mantém o dispositivo no ciclo de acesso frequente e o dispositivo continua a receber as atualizações de acesso frequente sem problemas. No entanto, atualizar um dispositivo para a versão mais recente do Windows num mês de acesso frequente muda o dispositivo para atualizações padrão; tem de reiniciar o dispositivo para aplicar a atualização até à próxima versão da linha de base.
Hotpatch no Windows 11 Enterprise ou Windows Server 2025
Observação
O Hotpatch também está disponível em Windows Server e Windows 365. Para obter mais informações, veja Hotpatch for Windows Server Azure Edition (Hotpatch for Windows Server Azure Edition).
As atualizações de acesso frequente são semelhantes entre Windows 11 e Windows Server 2025.
- O Windows Autopatch gere atualizações Windows 11
- Gerenciador de Atualizações do Azure e opcional subscrição do Arc Azure para o Windows 2025 Datacenter/Standard Editions (no local) gere o Windows Server 2025 Datacenter Azure Edition.
As datas do calendário, oito meses de acesso frequente e quatro meses de linha base, planeadas todos os anos, são as mesmas para todos os sistemas operativos suportados por hotpatch. É possível para meses de linha de base adicionais para um SO (por exemplo, Windows Server 2022), enquanto existem meses de acesso frequente para outro SO, como Server 2025 ou Windows 11, versão 24H2. Reveja as notas de versão do estado de funcionamento da versão do Windows para se manter atualizado.
Inscrever dispositivos para receber atualizações de acesso frequente
Pode ativar atualizações de acesso frequente para os seus dispositivos com uma definição ao nível do inquilino ou políticas de atualização de qualidade. A definição ao nível do inquilino é a predefinição aplicada aos dispositivos que não são membros de uma política de atualização de qualidade. Se um dispositivo for atribuído a uma política de atualização de qualidade, a definição de correção dessa política é a aplicada.
Predefinição do inquilino de acesso frequente
A predefinição de inquilino só é aplicada a dispositivos que não sejam membros de uma política de atualização de qualidade.
A Correção Automática do Windows respeita a configuração das políticas de atualização de qualidade. Se um dispositivo for atribuído a uma dessas políticas, a definição de acesso frequente dessa política é a aplicada.
Configure o comportamento de atualização de acesso frequente predefinido para o seu inquilino da seguinte forma:
- No centro de administração do Microsoft Intune, selecione Administração de inquilinos Gestão> deinquilinos doWindows Autopatch>.
- Selecione o separador Definições do inquilino .
- Alterne a definição Quando disponível, aplique atualizações sem reiniciar a definição do dispositivo ("hotpatch") para Permitir ou Bloquear.
Configure o hotpatch com políticas de atualização de qualidade.
A Correção Automática do Windows respeita a configuração da definição de acesso frequente nas políticas de atualização de qualidade. Se um dispositivo for atribuído a uma dessas políticas, a definição de acesso frequente dessa política é a aplicada e não a predefinição do inquilino.
Para inscrever dispositivos para receber atualizações de acesso frequente:
- No centro de administração do Microsoft Intune, selecione Dispositivos>Atualizações do Windows.
- Selecione o separador Atualizações de qualidade .
- Selecione Criar e selecione Política de atualização de qualidade do Windows.
- Na secção Informações básicas , introduza um nome para a nova política e selecione Seguinte.
- Na secção Definições , defina Quando disponível, aplique sem reiniciar o dispositivo ("hotpatch") como Permitir. Em seguida, selecione Avançar.
- Selecione as etiquetas de Âmbito adequadas ou deixe como Predefinição. Em seguida, selecione Avançar.
- Atribua os dispositivos à política e selecione Seguinte.
- Reveja a política e selecione Criar.
Estes passos garantem que os dispositivos visados, que são elegíveis para receber atualizações de acesso frequente, estão configurados corretamente. São disponibilizadas as atualizações cumulativas mais recentes (LCU) aos dispositivos não elegíveis.
Observação
Ativar as atualizações de acesso frequente não altera as configurações de instalação agendada ou orientadas por prazos existentes nos seus dispositivos geridos. As definições de diferimento e hora ativa ainda se aplicam.
Reverter uma atualização de acesso frequente
A reversão automática de uma atualização de acesso frequente não é suportada, mas pode desinstalá-las. Se ocorrer um problema inesperado com atualizações de acesso frequente, pode investigar ao desinstalar a atualização de hotpatch e instalar a atualização cumulativa padrão (LCU) mais recente e reiniciar. A desinstalação de uma atualização de acesso frequente é rápida, no entanto, requer um reinício do dispositivo.
Relatório de atualizações de qualidade do hotpatch
Depois de ter sido criada uma política de atualização de qualidade do Windows com as atualizações de acesso frequente ativadas, pode monitorizar resultados, status de implementação de acesso frequente e erros dos relatórios.
Este relatório mostra o total de dispositivos visados e os estados de atualização atuais de todos os dispositivos com atualização de acesso frequente ativada.
Para aceder ao relatório:
- No centro de administração do Microsoft Intune, selecione Relatórios
- Na secção Bloqueio Automático do Windows , selecione Atualizações de qualidade do Windows
- No separador Relatórios , selecione Relatório de atualizações de qualidade de acesso frequente.
Resolver problemas de atualizações de acesso frequente
Passo 1: verifique se o dispositivo é elegível para atualizações de acesso frequente e numa linha de base de hotpatch antes de a atualização de acesso frequente ser instalada
A aplicação de acesso frequente segue o ciclo de libertação do hotpatch. Reveja os pré-requisitos para garantir que o dispositivo é elegível para atualizações de acesso frequente. Para obter informações sobre dispositivos que não cumprem os pré-requisitos, consulte Dispositivos não elegíveis.
Para obter a agenda de versão mais recente, veja as notas de versão do hotpatch. Para obter informações sobre o histórico de atualizações do Windows, consulte Windows 11, versão 24H2, histórico de atualizações.
Passo 2: verificar se o dispositivo tem a segurança baseada em Virtualização (VBS) ativada
- Selecione Iniciar e introduza Informações do sistema na Pesquisa.
- Selecione Informações do sistema nos resultados.
- Em Resumo do sistema, na coluna Item, localize Segurança baseada em Virtualização.
- Na coluna Valor , certifique-se de que indica Em execução.
Passo 3: verificar se o dispositivo está configurado corretamente para ativar as atualizações de acesso frequente
- No Intune, reveja as políticas configuradas no Windows Autopatch para ver que grupos de dispositivos são visados com uma política de acesso frequente ao aceder à página Windows Update>Quality Atualizações.
- Certifique-se de que a política de atualização de acesso frequente está definida como Permitir.
- No dispositivo, selecione Iniciar>Definições>Windows Update>Opções avançadas As políticas>> deatualização configuradas encontram Ativar acesso frequente quando disponível. Esta definição indica que o dispositivo está inscrito em atualizações de acesso frequente, conforme configurado pelo Windows Autopatch.
Passo 4: Desativar a utilização híbrida de PE (CHPE) compilada (apenas CPU Arm64)
Para obter mais informações, veja Os dispositivos Arm 64 têm de desativar a utilização de PE híbrida compilada (CHPE) (Apenas CPU do Arm 64).
Passo 5: Utilizar o Visualizador de eventos para verificar se o dispositivo tem atualizações de acesso frequente ativadas
- Clique com o botão direito do rato no menu Iniciar e selecione Visualizador de eventos.
- Procure AllowRebootlessUpdates no filtro. Se AllowRebootlessUpdates estiver definido como
1, o dispositivo está inscrito na política de atualização de Bloqueio Automático do Windows e tem as atualizações de acesso frequente ativadas:"data": { "payload": "{\"Orchestrator\":{\"UpdatePolicy\":{\"Update/AllowRebootlessUpdates\":true}}}", "isEnrolled": 1, "isCached": 1, "vbsState": 2,
Passo 6: Verificar se existem erros de acesso frequente nos Registos do Windows
As atualizações de hotpatch fornecem um serviço de monitorização da caixa de entrada que verifica o estado de funcionamento das atualizações instaladas no dispositivo. Se o serviço de monitorização detetar um erro, o serviço regista um evento nos Registos de Aplicações do Windows. Se ocorrer um erro crítico, o dispositivo instala a atualização padrão (LCU) para garantir que o dispositivo está totalmente seguro.
- Clique com o botão direito do rato no menu Iniciar e selecione Visualizador de eventos.
- Procure hotpatch no filtro para ver os registos.