热补丁更新

热补丁更新旨在减少停机时间和中断。 热补丁更新是 每月 B 发布的安全更新 ，无需重启设备即可安装并生效。 通过最大程度地减少重启需求，这些更新有助于确保更快的合规性，使组织更容易维护安全性，同时保持工作流不中断。

热补丁是Windows 更新的扩展，要求自动修补创建热补丁并将其部署到在自动修补质量更新策略中注册的设备。

主要优势

• 热补丁更新简化了安装过程并提高合规性效率。
• 无需对现有更新通道配置进行更改。 现有的环形配置与热补丁策略一起使用。
• 热补丁质量更新报告提供接收热补丁更新的所有设备的当前更新状态的按策略级别视图。

必备条件

若要从热补丁更新中受益，设备必须满足以下先决条件：

• 有关许可要求，请参阅 先决条件
• Windows 11 企业版版本 24H2 或更高版本
• 设备必须采用最新的基线版本才能获得热补丁更新。 Microsoft按季度发布基线更新作为标准累积更新。 有关这些版本的最新计划的详细信息，请参阅 热补丁的发行说明。
• Microsoft Intune通过打开热补丁的 Windows 质量更新策略来管理热补丁更新部署。

作系统配置先决条件

若要准备设备以接收热补丁更新，请在设备上配置以下作系统设置。 必须将这些设置配置为向设备提供热补丁更新并应用所有热补丁更新。

基于虚拟化的安全性 (VBS)

必须打开 VBS 才能为设备提供热补丁更新。 有关如何设置和检测是否启用了 VBS 的信息，请参阅 基于虚拟化的安全性 (VBS) 。

注意

设备可能暂时不合格，因为它们未启用 VBS，或者当前未处于最新基线版本。 若要确保所有 Windows 设备都已正确配置为符合热补丁更新的条件，请参阅 热补丁更新疑难解答。

Arm 64 设备必须禁用编译的混合 PE 用法 (CHPE) (Arm 64 CPU 仅限)

重要提示

Arm 64 设备上的热补丁更新以公共预览版提供。 它正在积极开发，可能不完整。 它们以“预览”方式提供。 可以在生产环境和方案中测试和使用这些功能，并提供反馈。

此要求仅适用于使用热补丁更新时的 Arm 64 CPU 设备。 热补丁更新与文件夹中的 CHPE OS 二进制文件 %SystemRoot%\SyChpe32 服务不兼容。

若要确保应用所有热补丁更新，必须设置 CHPE 禁用标志并重启设备以禁用 CHPE 使用。 只需设置此标志一次。 注册表设置仍通过更新应用。

重要提示

此设置是必需的，因为它会强制作系统在 Arm 64 设备上使用仅限仿真 x86 的二进制文件，而不是 CHPE 二进制文件。 CHPE 二进制文件包括本机 Arm 64 代码以提高性能，不包括 CHPE 二进制文件可能会影响性能或兼容性。 在基于 Arm 64 CPU 的设备上广泛推出热补丁更新之前，请务必测试应用程序兼容性和性能。

若要禁用 CHPE，请创建和/或设置以下 DWORD 注册表项：路径： HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management DWORD 键值：HotPatchRestrictions=1

还可以使用 Windows Insider Preview) 上提供的 CSP DisableCHPE (。 有关详细信息，请参阅 DisableCHPE。

注意

在启用了 CHPE 的 Arm64 设备上，没有支持热补丁更新的计划。 仅 Arm64 设备需要禁用 CHPE。 AMD 和 Intel CPU 没有 CHPE。

如果选择不再使用热补丁更新，请清除 CHPE 禁用标志 (HotPatchRestrictions=0) 然后重启设备以启用 CHPE 用法。

不符合条件的设备

不满足一个或多个先决条件的设备会自动接收最新累积更新 (LCU) 。 最新累积更新 (LCU) 包含每月更新，这些更新取代包含安全和非安全版本的上个月的更新。

LCU 要求重启设备，但 LCU 可确保设备完全安全且合规。

注意

如果设备不符合热补丁更新的条件，则会向这些设备提供 LCU。 LCU 会保留配置的更新通道设置，不会更改设置。

发布周期

有关热补丁更新的发布日历的详细信息，请参阅 热补丁发行说明。

• 基线：包括最新的安全修补程序、累积新功能和增强功能。 需要重启。
• 热补丁：包括安全更新。 无需重启。

季度	基线更新 (需要重启)	热补丁 (无需重启)
1	1 月	2 月和 3 月
2	4 月	5 月和 6 月
3	7 月	8 月和 9 月
4	10 月	11 月和 12 月

2025 Windows 11 企业版 或 Windows Server 上的热补丁

注意

热补丁也可用于Windows Server和Windows 365。 有关详细信息，请参阅适用于 Windows Server Azure Edition 的热补丁。

Windows 11 和 Windows Server 2025 之间的热补丁更新类似。

• Windows 自动修补管理Windows 11更新
• 适用于 Windows 2025 Datacenter/Standard Editions 的Azure 更新管理器和可选 Azure Arc 订阅 (本地) 管理Windows Server 2025 Datacenter Azure Edition。 有关详细信息，有关Windows Server和Windows 365，请参阅适用于 Windows Server Azure Edition 的热补丁。

每年计划的日历日期、8 个热补丁月和 4 个基准月对于所有支持热补丁的作系统 (OS) 相同。 例如，一个 OS (可能会有额外的基线月，例如，Windows Server 2022) ，而另一个 OS 有热补丁月，例如 Server 2025 或 Windows 11 版本 24H2。 查看 Windows 版本运行状况 中的发行说明以保持最新状态。

注册设备以接收热补丁更新

注意

如果使用自动修补组，并且希望设备接收热补丁更新，则必须创建热修补策略并向其分配设备。 启用热补丁更新不会更改应用于自动修补组中设备的延迟设置。

若要注册设备以接收热补丁更新，请执行以下作：

1. 转到Intune管理中心。
2. 从左侧导航菜单中选择“ 设备 ”。
3. 在 “管理更新 ”部分下，选择“ Windows 更新”。
4. 转到“ 质量更新 ”选项卡。
5. 选择“ 创建”，然后选择“ Windows 质量更新策略”。
6. 在 “基本信息 ”部分下，输入新策略的名称，然后选择“下一步”。
7. 在 “设置” 部分下，将 “如果可用，则应用而不重启设备 (”热补丁“) 设置为 ”允许”。 然后选择“下一步”。
8. 选择适当的“作用域”标记或保留为“默认”。 然后选择“下一步”。
9. 将设备分配到策略，然后选择“ 下一步”。
10. 查看策略并选择“ 创建”。

这些步骤可确保正确配置 有资格 接收热补丁更新的目标设备。 不符合条件的设备 (LCU) 提供最新的累积更新。

注意

启用热补丁更新不会更改托管设备上现有的截止时间驱动或计划的安装配置。 延迟和可用小时数设置仍适用。

回滚热补丁更新

不支持热补丁更新的自动回滚，但你可以卸载它们。 如果热补丁更新遇到意外问题，可以通过卸载热补丁更新并安装最新的标准累积更新 (LCU) 并重启进行调查。 卸载热补丁更新很快，但确实需要重启设备。

对热补丁更新进行故障排除

步骤 1：在安装热补丁更新之前，验证设备是否符合热补丁更新的条件和热补丁基线

热修补遵循热补丁发布周期。 查看先决条件，确保设备 符合 热补丁更新的条件。 有关不符合先决条件的设备的信息，请参阅 不符合条件的设备。

有关最新版本计划，请参阅 热补丁发行说明。 有关 Windows 更新历史记录的信息，请参阅 Windows 11 版本 24H2 更新历史记录。

步骤 2：验证设备是否已启用基于虚拟化的安全性 (VBS)

1. 选择“ 开始”，然后在“搜索”中输入 System information 。
2. 从结果中选择 “系统信息 ”。
3. 在 “系统摘要”下的 “项”列下，找到 “基于虚拟化的安全性”。
4. 在 “值”列下，确保其状态 为“正在运行”。

步骤 3：验证设备是否已正确配置为打开热补丁更新

1. 在 Intune中，转到“Windows 更新>Quality 汇报”页面，查看在“自动修补”中配置的策略，以查看哪些设备组是热修补策略的目标。
2. 确保热补丁更新策略设置为 “允许”。
3. 在设备上，选择“启动>设置”>Windows 更新>“配置更新策略>”选项>，找到“启用热修补”（如果可用）。 此设置指示设备已在自动修补配置的热补丁更新中注册。

步骤 4：仅 (CHPE) (Arm64 CPU 禁用编译的混合 PE 用法)

有关详细信息，请参阅 Arm 64 设备必须禁用编译的混合 PE 用法 (CHPE) (Arm 64 CPU 仅限) 。

步骤 5：使用事件查看器验证设备是否已打开热补丁更新

1. 右键单击“ 开始 ”菜单，然后选择“ 事件查看器”。
2. 在筛选器中搜索 AllowRebootlessUpdates 。 如果 AllowRebootlessUpdates 设置为 1，则设备已在自动修补更新策略中注册，并且已启用热补丁更新：

"data": { "payload": "{\"Orchestrator\":{\"UpdatePolicy\":{\"Update/AllowRebootlessUpdates\":true}}}", "isEnrolled": 1, "isCached": 1, "vbsState": 2,

步骤 6：检查 Windows 日志中是否存在任何热补丁错误

热补丁更新提供收件箱监视器服务，用于检查设备上安装的更新的运行状况。 如果监视服务检测到错误，该服务会在 Windows 应用程序日志中记录事件。 如果出现严重错误，设备将安装标准 (LCU) 更新，以确保设备完全安全。

1. 右键单击“ 开始 ”菜单，然后选择“ 事件查看器”。
2. 在筛选器中搜索 热补丁 以查看日志。