Compartilhar via

Atualizações de acesso frequente

Com as atualizações de acesso frequente, pode tomar medidas rapidamente para ajudar a proteger a sua organização do panorama em evolução dos ciberataques, ao mesmo tempo que minimiza as perturbações dos utilizadores. As atualizações de hotpatch são atualizações de segurança de versão B mensais que instalam e produzem efeitos sem que tenha de reiniciar o dispositivo. Ao minimizar a necessidade de reiniciar, estas atualizações ajudam a garantir uma conformidade mais rápida, tornando mais fácil para as organizações manter a segurança, mantendo os fluxos de trabalho ininterruptos.

O Hotpatch é uma extensão de Windows Update e requer o Envio Automático para criar e implementar correções em dispositivos inscritos na política de atualização de qualidade de Correspondência automática.

Principais benefícios

  • As atualizações de acesso frequente simplificam o processo de instalação e melhoram a eficiência de conformidade.
  • Não são necessárias alterações às configurações da cadência de atualização existente. As configurações de cadência existentes são honradas juntamente com as políticas hotpatch.
  • O relatório atualização de qualidade hotpatch fornece uma vista ao nível da política dos estados de atualização atuais para todos os dispositivos que recebem atualizações do Hotpatch.
  • O tamanho do pacote hotpatch é significativamente menor do que as atualizações cumulativas padrão. Por conseguinte, as atualizações de acesso frequente instalam-se mais rapidamente e consomem menos largura de banda de rede. Os detalhes adicionais são partilhados no blogue Eficiência do Hotpatch desbloqueada: tamanho de atualização mais pequeno .

Pré-requisitos

Para beneficiar das atualizações do Hotpatch, os dispositivos têm de cumprir os seguintes pré-requisitos:

  • Uma das licenças elegíveis: Windows 11 Enterprise E3 ou E5, Microsoft 365 F3, Windows 11 Education A3 ou A5, Microsoft 365 Business Premium ou Windows 365 Enterprise
  • Windows 11 versão 24H2 ou posterior
  • Os dispositivos têm de estar na versão de lançamento da linha de base mais recente para se qualificarem para as atualizações do Hotpatch. A Microsoft disponibiliza atualizações de Linha de Base trimestralmente como atualizações cumulativas padrão. Para obter mais informações sobre a agenda mais recente para estas versões, consulte Notas de versão do Hotpatch.
  • O Microsoft Intune para gerir a implementação de atualizações de acesso frequente com a política de atualização de qualidade do Windows com o hotpatch ativado.

Pré-requisitos de configuração do sistema operativo

Para preparar um dispositivo para receber atualizações do Hotpatch, configure as seguintes definições do sistema operativo no dispositivo. Tem de configurar estas definições para que o dispositivo tenha a atualização Hotpatch disponibilizada e para aplicar todas as atualizações do Hotpatch.

Segurança baseada em virtualização (VBS)

A VBS tem de estar ativada para que seja disponibilizada atualizações de Hotpatch a um dispositivo. Para obter informações sobre como definir e detetar se o VBS está ativado, veja Virtualization-based Security (VBS).

Observação

Os dispositivos podem ser temporariamente inelegíveis porque não têm o VBS ativado ou não estão atualmente na versão de linha de base mais recente. Para garantir que todos os seus dispositivos Windows estão configurados corretamente para serem elegíveis para atualizações de acesso frequente, veja Resolver problemas de atualizações de acesso frequente.

Os dispositivos Arm 64 têm de desativar a utilização híbrida de PE (CHPE) compilada (Apenas CPU do Arm 64)

Observação

As atualizações de hotpatch em dispositivos Arm 64 seguem o mesmo ciclo de lançamento.

Este requisito aplica-se apenas a dispositivos de CPU arm 64 ao utilizar atualizações do Hotpatch. As atualizações de acesso frequente não são compatíveis com a manutenção dos binários do SO CHPE localizados na %SystemRoot%\SyChpe32 pasta.

Para garantir que todas as atualizações do Hotpatch são aplicadas, tem de definir o sinalizador CHPE desativar e reiniciar o dispositivo para desativar a utilização do CHPE. Só tem de definir este sinalizador uma vez. A definição de registo permanece aplicada através de atualizações.

Importante

Esta definição é necessária porque força o sistema operativo a utilizar os binários só de emulação x86 em vez de binários CHPE em dispositivos Arm 64. Os binários CHPE incluem código arm 64 nativo para melhorar o desempenho, excluindo os binários CHPE pode afetar o desempenho ou a compatibilidade. Certifique-se de que testa a compatibilidade e o desempenho da aplicação antes de implementar atualizações de Hotpatch amplamente em dispositivos baseados na CPU do Arm 64.

Para desativar o CHPE, crie e/ou defina a seguinte chave de registo DWORD: Path: HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management DWORD key value: HotPatchRestrictions=1

Também pode utilizar o CSP DisableCHPE. Para obter mais informações, veja DisableCHPE.

Observação

Não existem planos para suportar atualizações de acesso frequente em dispositivos Arm64 com CHPE ativado. A desativação do CHPE só é necessária para dispositivos Arm64. As CPUs AMD e Intel não têm CHPE.

Se optar por deixar de utilizar atualizações do Hotpatch, desmarque o sinalizador CHPE disable () eHotPatchRestrictions=0, em seguida, reinicie o dispositivo para ativar a utilização chpe.

Dispositivos não elegíveis

Em vez disso, os dispositivos que não cumprem um ou mais pré-requisitos recebem automaticamente a Atualização Cumulativa Mais Recente (LCU). A Atualização Cumulativa Mais Recente (LCU) contém atualizações mensais que substituem as atualizações do mês anterior que contêm versões de segurança e não relacionadas com segurança.

As LCUs requerem que reinicie o dispositivo, mas a LCU garante que o dispositivo permanece totalmente seguro e em conformidade.

Observação

Se os dispositivos não forem elegíveis para atualizações hotpatch, estes dispositivos são oferecidos à LCU. A LCU mantém as definições configuradas da Cadência de atualização, não altera as definições.

Ciclos de lançamento

Para obter mais informações sobre o calendário de lançamento para atualizações de acesso frequente, consulte Notas de versão do Hotpatch.

  • Linha base: inclui as correções de segurança mais recentes, novas funcionalidades cumulativas e melhoramentos. É necessário reiniciar.

  • Hotpatch: inclui atualizações de segurança. Não é necessário reiniciar.

    Trimestre Atualizações da linha de base (requer reinício) Correção (não é necessário reiniciar)
    1 Janeiro Fevereiro e Março
    2 Abril Maio e Junho
    3 Julho Agosto e Setembro
    4 Outubro Novembro e Dezembro

Observação

Atualizar um dispositivo inscrito de acesso frequente para a versão mais recente do Windows (por exemplo: atualizar do Windows 11 24H2 para o Windows 11 25H2) durante um mês de linha de base mantém o dispositivo no ciclo de bloqueio de acesso frequente e o dispositivo continua a receber as atualizações de acesso frequente sem parecer. No entanto, atualizar um dispositivo para a versão mais recente do Windows num mês de acesso frequente muda o dispositivo para atualizações padrão; tem de reiniciar o dispositivo para aplicar a atualização até à próxima versão da linha de base.

Hotpatch no Windows 11 Enterprise ou Windows Server 2025

Observação

O Hotpatch também está disponível em Windows Server e Windows 365. Para obter mais informações, veja Hotpatch para Windows Server Azure Edition.

As atualizações de acesso frequente são semelhantes entre Windows 11 e Windows Server 2025.

As datas do calendário, oito meses de acesso frequente e quatro meses de linha base, planeadas todos os anos, são as mesmas para todos os sistemas operativos (SO) suportados por hotpatch. É possível para meses de linha de base adicionais para um SO (por exemplo, Windows Server 2022), enquanto existem meses de acesso frequente para outro SO, como Server 2025 ou Windows 11, versão 24H2. Reveja as notas de versão do estado de funcionamento da versão do Windows para se manter atualizado.

Inscrever dispositivos para receber atualizações do Hotpatch

Observação

Se estiver a utilizar grupos de Bloqueio Automático e pretender que os seus dispositivos recebam atualizações do Hotpatch, tem de criar uma política de Acesso Frequente e atribuir dispositivos ao mesmo. Ativar as atualizações do Hotpatch não altera a definição de diferimento aplicada aos dispositivos dentro de um grupo de Bloqueio Automático.

Para inscrever dispositivos para receber atualizações do Hotpatch:

  1. Aceda ao centro de administração do Intune.
  2. Selecione Dispositivos no menu de navegação esquerdo.
  3. Na secção Gerir atualizações , selecione Atualizações do Windows.
  4. Aceda ao separador Atualizações de qualidade .
  5. Selecione Criar e selecione Política de atualização de qualidade do Windows.
  6. Na secção Informações básicas , introduza um nome para a nova política e selecione Seguinte.
  7. Na secção Definições , certifique-se de que a opção "Quando disponível, aplicar sem reiniciar o dispositivo ("Hotpatch") está definida como Permitir. Em seguida, selecione Próximo.
  8. Selecione as etiquetas de Âmbito adequadas ou deixe como Predefinição. Em seguida, selecione Próximo.
  9. Atribua os dispositivos à política e selecione Seguinte.
  10. Reveja a política e selecione Criar.
  11. Também pode Editar a política de atualização de qualidade do Windows existente e definir "Quando disponível, aplicar sem reiniciar o dispositivo ("Hotpatch") como Permitir.

Estes passos garantem que os dispositivos visados, que são elegíveis para receber atualizações do Hotpatch, estão configurados corretamente. São disponibilizadas as atualizações cumulativas mais recentes (LCU) aos dispositivos não elegíveis.

Observação

Ativar as atualizações do Hotpatch não altera as configurações de instalação agendada ou orientadas por prazos existentes nos seus dispositivos geridos. As definições de diferimento e hora ativa ainda se aplicam.

Reverter uma atualização de acesso frequente

A reversão automática de uma atualização do Hotpatch não é suportada, mas pode desinstalá-las. Se ocorrer um problema inesperado com atualizações de acesso frequente, pode investigar ao desinstalar a atualização de hotpatch e instalar a atualização cumulativa padrão (LCU) mais recente e reiniciar. A desinstalação de uma atualização de acesso frequente é rápida, no entanto, requer um reinício do dispositivo.

Resolver problemas de atualizações de acesso frequente

Passo 1: verifique se o dispositivo é elegível para atualizações de acesso frequente e numa linha de base de hotpatch antes de a atualização de acesso frequente ser instalada

A aplicação de acesso frequente segue o ciclo de libertação do hotpatch. Reveja os pré-requisitos para garantir que o dispositivo é elegível para atualizações de acesso frequente. Para obter informações sobre dispositivos que não cumprem os pré-requisitos, consulte Dispositivos não elegíveis.

Para obter a agenda de versão mais recente, veja as notas de versão do hotpatch. Para obter informações sobre o histórico de atualizações do Windows, consulte Windows 11, versão 24H2, histórico de atualizações.

Passo 2: verificar se o dispositivo tem a segurança baseada em Virtualização (VBS) ativada

  1. Selecione Iniciar e introduza System information na Pesquisa.
  2. Selecione Informações do sistema nos resultados.
  3. Em Resumo do sistema, na coluna Item, localize Segurança baseada em Virtualização.
  4. Na coluna Valor, certifique-se de que indica Em execução.

Passo 3: verificar se o dispositivo está configurado corretamente para ativar as atualizações de acesso frequente

  1. No Intune, reveja as políticas configuradas no Autopatch para ver que grupos de dispositivos são visados com uma política de acesso frequente ao aceder à página Atualizações Windows Update>Quality.
  2. Certifique-se de que a política de atualização de acesso frequente está definida como Permitir.
  3. No dispositivo, selecione Iniciar>Definições>Windows Update>Opções avançadas As políticas>> deatualização configuradas encontram Ativar acesso frequente quando disponível. Esta definição indica que o dispositivo está inscrito em atualizações de acesso frequente, conforme configurado pela Correção Automática.

Passo 4: Desativar a utilização híbrida de PE (CHPE) compilada (apenas CPU Arm64)

Para obter mais informações, veja Os dispositivos Arm 64 têm de desativar a utilização de PE híbrida compilada (CHPE) (Apenas CPU do Arm 64).

Passo 5: Utilizar o Visualizador de eventos para verificar se o dispositivo tem atualizações de acesso frequente ativadas

  1. Clique com o botão direito do rato no menu Iniciar e selecione Visualizador de eventos.

  2. Procure AllowRebootlessUpdates no filtro. Se AllowRebootlessUpdates estiver definido como 1, o dispositivo é inscrito na política de atualização de bloqueio automático e tem as atualizações de acesso frequente ativadas:

    "data": { "payload": "{\"Orchestrator\":{\"UpdatePolicy\":{\"Update/AllowRebootlessUpdates\":true}}}", "isEnrolled": 1, "isCached": 1, "vbsState": 2,

Passo 6: Verificar se existem erros de acesso frequente nos Registos do Windows

As atualizações de hotpatch fornecem um serviço de monitorização da caixa de entrada que verifica o estado de funcionamento das atualizações instaladas no dispositivo. Se o serviço de monitorização detetar um erro, o serviço regista um evento nos Registos de Aplicações do Windows. Se ocorrer um erro crítico, o dispositivo instala a atualização padrão (LCU) para garantir que o dispositivo está totalmente seguro.

  1. Clique com o botão direito do rato no menu Iniciar e selecione Visualizador de eventos.
  2. Procure hotpatch no filtro para ver os registos.
  • Last updated on