Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
С помощью обновлений с горячим исправлением можно быстро принять меры, которые помогут защитить свою организацию от изменяющегося ландшафта кибератак, сводя к минимуму перебои пользователей. Обновления горячего исправления — это ежемесячные обновления для системы безопасности выпуска B, которые устанавливаются и вступают в силу без необходимости перезапуска устройства. Сводя к минимуму необходимость перезапуска, эти обновления помогают обеспечить более быстрое соответствие требованиям, упрощая для организаций поддержание безопасности при сохранении рабочих процессов в непрерывном режиме.
Обновления для системы безопасности горячего исправления включены по умолчанию для всех соответствующих устройств в Microsoft Intune. Такой подход помогает организациям поддерживать соответствие требованиям безопасности, минимизируя прерывания рабочих процессов.
Вы можете настроить, включено ли горячее исправление для устройств, с помощью параметра уровня клиента или политик обновления качества.
Основные преимущества
- Более быстрая безопасность: исправления безопасности Hotpatch вступают в силу без необходимости перезапуска, что значительно ускоряет защиту устройств.
- Снижение количества сбоев. Hotpatch устанавливает соответствующие обновления для системы безопасности без необходимости немедленного перезапуска устройства, помогая пользователям оставаться продуктивными.
- Полезные данные меньше. Размер пакета Hotpatch значительно меньше стандартных накопительных обновлений.
- Нет изменений в существующих кругах обновления. Существующие конфигурации кругов обновления остаются в силе и учитываются вместе с конфигурациями горячего исправления.
- Видимость на уровне политики. Отчет об обновлениях качества горячего исправления предоставляет представление состояния обновлений на уровне политики для устройств, получающих обновления с горячим исправлением.
Предварительные условия
Hotpatch имеет те же предварительные требования, что и политики обновления качества Windows. См . раздел Предварительные требования к обновлению качества. В этом разделе рассматриваются дополнительные предварительные требования, характерные для горячего исправления.
Требования к конфигурации устройства
Чтобы подготовить устройство к получению обновлений горячего исправления, настройте на устройстве следующие параметры операционной системы. Эти параметры необходимо настроить для того, чтобы устройство было предложено обновление hotpatch и применить все обновления горячего исправления.
Безопасность на основе виртуализации (VBS)
Чтобы на устройстве предлагались обновления горячего исправления, необходимо включить VBS. Сведения о том, как настроить и определить, включена ли VBS, см. в разделе Безопасность на основе виртуализации (VBS).Примечание.
Устройства могут быть временно недоступны, так как они не поддерживают VBS или в настоящее время не находятся на последнем базовом выпуске. Чтобы убедиться, что все устройства Windows настроены правильно, чтобы они могли получать обновления с горячим исправлением, см. статью Устранение неполадок с обновлениями с горячим исправлением.
Состояние VBS также можно найти в разделе Автоматическое исправление оповещений и исправление с помощью оповещения Hotpatch — VBS не выполняется.
Устройства Arm 64 должны отключить скомпилированное гибридное использование PE (CHPE) (только ЦП Arm 64)
Чтобы обеспечить применение всех обновлений горячего исправления, необходимо установить флаг отключения скомпилированного гибридного исполняемого файла (CHPE) и перезапустить устройство, чтобы отключить использование CHPE. Этот флаг нужно задать только один раз. Параметр реестра остается применен через обновления.
Это требование применяется только к устройствам ЦП Arm 64 при использовании обновлений горячего исправления. Обновления горячего исправления несовместимы с двоичными файлами ОС CHPE.
Чтобы отключить CHPE, создайте и (или) задайте следующий раздел реестра DWORD:
Путь:
HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management DWORD key value: HotPatchRestrictions=1Дополнительные сведения о CHPE см. в разделе Сведения о реализации WOW64.
Примечание.
Поддержка обновлений горячего исправления на устройствах Arm64 с включенным CHPE не планируется. Отключение CHPE требуется только для устройств Arm64. Процессоры AMD и Intel не имеют CHPE. Если вы решили больше не использовать обновления горячего исправления, снимите флаг отключения CHPE (
HotPatchRestrictions=0), а затем перезапустите устройство, чтобы включить использование CHPE.
Неподготовлимые устройства
Устройства, которые не соответствуют одному или нескольким предварительным требованиям, автоматически получают последнее накопительное обновление (LCU). Последнее накопительное обновление (LCU) содержит ежемесячные обновления, заменяющие обновления за предыдущий месяц, содержащие как выпуски безопасности, так и выпуски, не связанные с безопасностью.
Для LCU требуется перезапустить устройство, но LCU гарантирует, что устройство остается полностью безопасным и совместимым.
Примечание.
Если устройства не имеют права на обновления горячего исправления, этим устройствам предлагается LCU. LCU сохраняет настроенные параметры круга обновления, но не изменяет параметры.
Циклы выпуска
Дополнительные сведения о календаре выпусков для обновлений hotpatch см. в статье Заметки о выпуске для hotpatch.
- Базовые показатели. Включает последние исправления безопасности, накопительные новые функции и улучшения. Требуется перезагрузка.
- Горячее исправление: включает обновления для системы безопасности. Перезапуск не требуется.
| Квартал | Базовые обновления (требуется перезапуск) | Горячее исправление (перезапуск не требуется) |
|---|---|---|
| 1 | Января | Февраль и март |
| 2 | Апреля | Май и июнь |
| 3 | Июль | Август и сентябрь |
| 4 | Октябрь | Ноябрь и декабрь |
В течение месяца горячего исправления, если на устройстве включены обновления горячего исправления, но не установлено последнее базовое обновление, устройство получит как последнее базовое обновление (требуется перезагрузка), так и последнее обновление горячего исправления.
Примечание.
При обновлении устройства, зарегистрированного в режиме горячего исправления, до последней версии Windows (например, при обновлении с Windows 11 версии 24H2 до Windows 11 версии 25H2) в течение базового месяца устройство будет оставаться в цикле горячего исправления, и устройство продолжает получать обновления горячего исправления без проблем. Однако при обновлении устройства до последней версии Windows в течение месяца горячего исправления устройство переключается на стандартные обновления. Необходимо перезапустить устройство, чтобы применить обновление до следующего базового выпуска.
Горячее исправление в Windows 11 Корпоративная или Windows Server 2025 г.
Примечание.
Hotpatch также доступен на Windows Server и Windows 365. Дополнительные сведения см. в разделе Hotpatch for Windows Server Azure Edition.
Обновления горячего исправления похожи между Windows 11 и Windows Server 2025.
- Автоматическое исправление Windows управляет обновлениями Windows 11
- Диспетчер обновлений Azure и необязательная подписка Azure Arc для windows 2025 Datacenter/Standard Editions (локальная версия) управляет выпуском Windows Server 2025 Datacenter Azure.
Календарные даты, восемь месяцев горячего обновления и четыре базовых месяца, запланированные каждый год, одинаковы для всех операционных систем, поддерживаемых горячим исправлением. Для одной ОС (например, Windows Server 2022) возможны дополнительные базовые месяцы, а для другой ОС, например Server 2025 или Windows 11 версии 24H2, существуют месяцы горячего исправления. Ознакомьтесь с заметками о выпуске в статье Работоспособности выпусков Windows.
Регистрация устройств для получения обновлений с горячим исправлением
Вы можете включить обновления горячего исправления для устройств с помощью параметра уровня клиента или политик обновления качества. Параметр на уровне клиента — это параметр по умолчанию, применяемый к устройствам, которые не являются членами политики обновления качества. Если устройству назначена политика обновления качества, применяется параметр горячего исправления из этой политики.
Параметр клиента hotpatch по умолчанию
Параметр клиента по умолчанию применяется только к устройствам, которые не являются членами политики обновления качества.
Автоматическое исправление Windows учитывает конфигурацию политик обновления качества. Если устройство назначено одной из этих политик, применяется параметр горячего исправления из этой политики.
Настройте поведение обновления по умолчанию для клиента, как показано ниже.
- В Центре администрирования Microsoft Intune выберите Администрирование> клиентаWindows Автопатка>управление клиентами.
- Выберите вкладку Параметры клиента .
- Установите переключатель Если доступно, применить обновления без перезапуска устройства ("горячее исправление") значение Разрешить или Блокировать.
Настройте горячее исправление с помощью политик обновления качества.
Автоматическое исправление Windows учитывает вашу конфигурацию параметра hotpatch в политиках обновления качества. Если устройство назначено одной из этих политик, применяется параметр горячего исправления из этой политики, а не параметр клиента по умолчанию.
Чтобы зарегистрировать устройства для получения обновлений горячего исправления, выполните следующие действия.
- В Центре администрирования Microsoft Intune выберите Устройства>Обновления Windows.
- Перейдите на вкладку Исправления .
- Щелкните Создать и выберите Политика обновления качества Windows.
- В разделе Основные сведения введите имя новой политики и нажмите кнопку Далее.
- В разделе Параметры установите для параметра Если доступно, применить без перезапуска устройства ("hotpatch") значение Разрешить. Затем выберите Далее.
- Выберите соответствующие теги области или оставьте значение По умолчанию. Затем выберите Далее.
- Назначьте устройства политике и нажмите кнопку Далее.
- Просмотрите политику и нажмите кнопку Создать.
Эти действия гарантируют правильную настройку целевых устройств, соответствующих критериям допустимости. См. раздел Необходимые компоненты. Для устройств, не имеющих права, предлагаются последние накопительные обновления (LCU). См . раздел Что делает устройство недопустимым.
Примечание.
Включение обновлений горячего исправления не изменяет существующие конфигурации установки на основе крайних сроков или запланированной установки на управляемых устройствах. Параметры отсрочки и активных часов по-прежнему применяются.
Откат обновления с горячим исправлением
Автоматический откат обновления горячего исправления не поддерживается, но их можно удалить. Если у вас возникла непредвиденная проблема с обновлениями горячего исправления, вы можете изучить эту проблему, удалив обновление hotpatch, установив последнее стандартное накопительное обновление (LCU) и перезапустив. Удаление обновления с горячим исправлением выполняется быстро, однако для этого требуется перезагрузка устройства.
Отчет по исправлению исправлений
После создания политики обновления качества Windows с включенными обновлениями горячего исправления можно отслеживать результаты, состояние развертывания горячего исправления и ошибки из отчетов.
В этом отчете показано общее количество целевых устройств и текущее состояние обновления всех устройств с поддержкой горячего исправления.
Чтобы получить доступ к отчету, выполните следующие действия.
- В Центре администрирования Microsoft Intune выберите Отчеты.
- В разделе Автоматическое исправление Windows выберите Обновления качества Windows.
- На вкладке Отчеты выберите Отчет об обновлениях качества горячего исправления.
Устранение неполадок с обновлениями с горячим исправлением
Шаг 1. Убедитесь, что устройство подходит для обновлений hotpatch и на базовом уровне горячего исправления перед установкой обновления hotpatch
Горячее исправление выполняется по циклу выпуска hotpatch. Проверьте предварительные требования, чтобы убедиться, что устройство подходит для обновлений горячего исправления. Сведения об устройствах, которые не соответствуют предварительным требованиям, см. в разделе Устройства, не соответствующие требованиям.
Расписание последнего выпуска см. в заметках о выпуске hotpatch. Сведения об журнале обновлений Windows см. в разделе журнал обновлений Windows 11 версии 24H2.
Шаг 2. Проверка того, что на устройстве включена защита на основе виртуализации (VBS)
- Нажмите кнопку Пуск и введите сведения о системе в поле Поиск.
- Выберите Сведения о системе в результатах.
- В разделе Сводка по системе в столбце Элемент найдите безопасность на основе виртуализации.
- В столбце Значение убедитесь, что в нем указано Выполняется.
Шаг 3. Проверка правильной настройки устройства для включения обновлений горячего исправления
- В Intune просмотрите настроенные политики в windows Autopatch, чтобы узнать, на какие группы устройств используется политика горячего исправления, перейдя на страницу клиентский компонент Центра обновления Windows>Quality Обновления.
- Убедитесь, что для политики обновления горячего исправления задано значение Разрешить.
- На устройстве выберите Пуск>Параметры>клиентский компонент Центра обновления Windows>Добавить параметры>Настроенные политики обновлений> выберите Включить горячее исправление, если доступно. Этот параметр указывает, что устройство зарегистрировано в обновлениях горячего исправления, как это настроено с помощью автозахвата Windows.
Шаг 4. Отключение скомпилированного гибридного использования PE (CHPE) (только ЦП Arm64)
Дополнительные сведения см. в статье Устройства Arm 64 должны отключить скомпилированное гибридное использование PE (CHPE) (только ЦП Arm 64).
Шаг 5. Использование средства просмотра событий для проверки включения обновлений горячего исправления на устройстве
- Щелкните правой кнопкой мыши меню Пуск и выберите средство просмотра событий.
- Выполните поиск по запросу AllowRebootlessUpdates в фильтре. Если параметр AllowRebootlessUpdates имеет значение
1, устройство регистрируется в политике автоматического обновления Windows и включает обновления горячего исправления:"data": { "payload": "{\"Orchestrator\":{\"UpdatePolicy\":{\"Update/AllowRebootlessUpdates\":true}}}", "isEnrolled": 1, "isCached": 1, "vbsState": 2,
Шаг 6. Проверка журналов Windows на наличие ошибок горячего исправления
Обновления горячего исправления предоставляют службу мониторинга папки "Входящие", которая проверяет работоспособность обновлений, установленных на устройстве. Если служба мониторинга обнаруживает ошибку, служба регистрирует событие в журналах приложений Windows. При возникновении критической ошибки устройство устанавливает стандартное обновление (LCU), чтобы обеспечить полную безопасность устройства.
- Щелкните правой кнопкой мыши меню Пуск и выберите средство просмотра событий.
- Выполните поиск по запросу hotpatch в фильтре, чтобы просмотреть журналы.