Freigeben über

Hotpatch-Updates

Mit Hotpatch-Updates können Sie schnell Maßnahmen ergreifen, um Ihre organization vor der sich entwickelnden Landschaft von Cyberangriffen zu schützen und gleichzeitig Benutzerunterbrechungen zu minimieren. Hotpatch-Updates sind monatliche B-Sicherheitsupdates , die installiert und wirksam werden, ohne dass Sie das Gerät neu starten müssen. Durch die Minimierung der Notwendigkeit eines Neustarts tragen diese Updates dazu bei, die Compliance zu beschleunigen, sodass Organisationen die Aufrechterhaltung der Sicherheit bei gleichzeitiger Unterbrechung von Workflows erleichtern.

Hotpatch ist eine Erweiterung von Windows Update und erfordert Autopatch zum Erstellen und Bereitstellen von Hotpatches auf Geräten, die in der Richtlinie für autopatch-Qualitätsupdates registriert sind.

Wichtigste Vorteile

  • Hotpatch-Updates optimieren den Installationsprozess und verbessern die Complianceeffizienz.
  • An den vorhandenen Updateringkonfigurationen sind keine Änderungen erforderlich. Ihre vorhandenen Ringkonfigurationen werden zusammen mit Hotpatch-Richtlinien berücksichtigt.
  • Der Hotpatch-Qualitätsupdatebericht bietet eine Ansicht auf Richtlinienebene des aktuellen Updatestatus für alle Geräte, die Hotpatch-Updates erhalten.
  • Die Hotpatch-Paketgröße ist deutlich kleiner als die kumulativen Standardupdates. Daher werden Hotpatch-Updates schneller installiert und verbrauchen weniger Netzwerkbandbreite. Weitere Details finden Sie im Blog Hotpatch-Effizienz entsperrt: Kleinere Updategröße .

Voraussetzungen

Um von Hotpatch-Updates profitieren zu können, müssen Geräte die folgenden Voraussetzungen erfüllen:

  • Eine der berechtigten Lizenzen: Windows 11 Enterprise E3 oder E5, Microsoft 365 F3, Windows 11 Education A3 oder A5, Microsoft 365 Business Premium oder Windows 365 Enterprise
  • Windows 11 Version 24H2 oder höher
  • Geräte müssen über die neueste Baselineversion verfügen, um für Hotpatch-Updates qualifiziert zu sein. Microsoft veröffentlicht Baselineupdates vierteljährlich als kumulative Standardupdates. Weitere Informationen zum neuesten Zeitplan für diese Releases finden Sie unter Versionshinweise für Hotpatch.
  • Microsoft Intune, die Bereitstellung von Hotpatch-Updates mit der Windows-Qualitätsupdaterichtlinie mit aktiviertem Hotpatch zu verwalten.

Voraussetzungen für die Betriebssystemkonfiguration

Um ein Gerät für den Empfang von Hotpatch-Updates vorzubereiten, konfigurieren Sie die folgenden Betriebssystemeinstellungen auf dem Gerät. Sie müssen diese Einstellungen konfigurieren, damit dem Gerät das Hotpatch-Update angeboten wird und alle Hotpatch-Updates angewendet werden.

Virtualisierungsbasierte Sicherheit (VBS)

VBS muss aktiviert sein, damit einem Gerät Hotpatch-Updates angeboten werden können. Informationen zum Festlegen und Erkennen, ob VBS aktiviert ist, finden Sie unter Virtualisierungsbasierte Sicherheit (VBS).

VBS ist erforderlich, damit das Hotpatch-Updateinstallationsprogramm funktioniert. Um VBS zu aktivieren, können Sie die CSP VirtualizationBasedTechnology verwenden. Weitere Informationen finden Sie unter VirtualizationBasedTechnology.

Hinweis

Geräte sind möglicherweise vorübergehend nicht berechtigt, da VBS nicht aktiviert ist oder derzeit nicht im neuesten Baselinerelease enthalten ist. Informationen dazu, dass alle Ihre Windows-Geräte ordnungsgemäß so konfiguriert sind, dass sie für Hotpatch-Updates geeignet sind, finden Sie unter Problembehandlung für Hotpatch-Updates. Sie finden VBS-status auch unter Automatisches Patchen von Warnungen und Wartung mit der Warnung "Hotpatch – VBS wird nicht ausgeführt".

Arm 64-Geräte müssen die kompilierte Hybrid PE-Nutzung (CHPE) deaktivieren (nur Arm 64-CPU)

CHPE (Compiled Hybrid Portable Executable) ist ein Binärtyp, der die Leistung von 32-Bit-Anwendungen (x86) verbessert, die auf Arm64-Geräten ausgeführt werden. CHPE-Binärdateien enthalten sowohl nativen Arm64- als auch x86-Code, sodass Windows x86-Anwendungen effizienter auf Arm-basierten PCs ausführen kann.

Diese Anforderung gilt nur für Arm64-CPU-Geräte, wenn Hotpatch-Updates verwendet werden. Hotpatch-Updates sind nicht kompatibel mit der Wartung von CHPE-Betriebssystembinärdateien, die %SystemRoot%\SyChpe32 sich im Ordner befinden.

Hinweis

CHPE ist nur für Umgebungen relevant, in denen 32-Bit x86 Microsoft Office oder andere x86-Legacyanwendungen auf Arm64-Geräten erforderlich sind.

Wenn Sie nicht sicher sind, welche Edition von Anwendungen Sie ausführen und ob sie beim Deaktivieren von CHPE fehlschlagen können, lesen Sie Auswählen zwischen der 64-Bit- oder 32-Bit-Version von Office – Microsoft-Support.

Anwendungsfehler oder Leistungsprobleme können durch die Deaktivierung von CHPE-Binärdateien entstehen. Dies kann passieren, wenn Sie ein 32-Bit-Programm ausführen, z. B. VBA-Code mit Declare-Anweisungen oder 32-Bit-COM-Add-Ins ohne 64-Bit-Alternative. Um diese Probleme zu vermeiden, aktualisieren Sie das Programm auf 64-Bit, oder identifizieren Sie die Geräte, auf denen diese Programme ausgeführt werden müssen, und schließen Sie sie von Ihren Hotpatch-Qualitätsupdaterichtlinien aus.

Eine Anleitung zum Aktualisieren von 32-Bit-Anwendungen auf 64-Bit finden Sie unter Aktualisieren der App-Architektur von Arm32 auf Arm64.

Um sicherzustellen, dass alle Hotpatch-Updates angewendet werden, müssen Sie die CHPE-Verwendung deaktivieren. Legen Sie das CHPE-Deaktivierungsflag fest, und starten Sie das Gerät neu. Sie müssen dieses Flag nur einmal festlegen. Die Registrierungseinstellung wird weiterhin über Updates angewendet.

Um CHPE-Binärdateien zu deaktivieren, können Sie den DisableCHPE-Systemrichtlinien-CSP verwenden. Weitere Informationen finden Sie unter DisableCHPE.

Sie können auch den folgenden DWORD-Registrierungsschlüssel erstellen und/oder festlegen: Pfad: HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management DWORD-Schlüsselwert: HotPatchRestrictions=1

Wichtig

Die Unterstützung für die 32-Bit-Edition von Microsoft 365 Apps auf Windows Arm-basierten Geräten wird eingestellt. Neue Featureupdates wurden im Oktober 2025 beendet, und Sicherheitsupdates enden im Dezember 2026. Wenn Ihr organization weiterhin 32-Bit-Microsoft 365 Apps auf Windows Arm-basierten PCs verwendet, lesen Sie Ende des Supports für 32-Bit-Microsoft 365 Apps auf Windows Arm-basierten PCs. Es ist nicht geplant, Hotpatch-Updates auf Arm64-Geräten mit aktiviertem CHPE zu unterstützen. Das Deaktivieren von CHPE gilt nur für Arm64-Geräte.

Wenn Sie Hotpatch-Updates nicht mehr verwenden möchten, deaktivieren Sie das CHPE-Deaktivierungsflag (HotPatchRestrictions=0), und starten Sie dann das Gerät neu, um die CHPE-Nutzung zu aktivieren.

Nicht berechtigte Geräte

Geräte, die eine oder mehrere Voraussetzungen nicht erfüllen, erhalten stattdessen automatisch das neueste kumulative Update (LCU). Neuestes kumulatives Update (LCU) enthält monatliche Updates, die die Updates des Vorherigen Monats ersetzen, die sowohl Sicherheitsversionen als auch nicht sicherheitsrelevante Versionen enthalten.

LCUs erfordern, dass Sie das Gerät neu starten, aber die LCU stellt sicher, dass das Gerät vollständig sicher und konform bleibt.

Hinweis

Wenn Geräte nicht für Hotpatch-Updates berechtigt sind, wird ihnen die LCU angeboten. Die LCU behält ihre konfigurierten Einstellungen für den Updatering bei. Die Einstellungen werden nicht geändert.

Releasezyklen

Weitere Informationen zum Releasekalender für Hotpatch-Updates finden Sie unter Versionshinweise für Hotpatch.

  • Baseline: Enthält die neuesten Sicherheitskorrekturen, kumulativen neuen Features und Verbesserungen. Neustart erforderlich.

  • Hotpatch: Enthält Sicherheitsupdates. Kein Neustart erforderlich.

    Quartal Baselineupdates (Neustart erforderlich) Hotpatch (kein Neustart erforderlich)
    1 Januar Februar und März
    2 April Mai und Juni
    3 Juli August und September
    4 Oktober November und Dezember

Wenn während eines Hotpatchmonats auf einem Gerät Hotpatch-Updates aktiviert sind, sich aber nicht auf dem neuesten Baselineupdate befindet, erhält das Gerät sowohl das neueste Baselineupdate (Neustart erforderlich) als auch das neueste Hotpatch-Update.

Hinweis

Durch das Upgrade eines hotpatch-registrierten Geräts auf die neueste Windows-Version (z. B. upgraden von Windows 11 24H2 auf Windows 11 25H2) während eines Baselinemonats bleibt das Gerät im Hotpatch-Zyklus, und das Gerät empfängt die Hotpatch-Updates nahtlos. Wenn ein Gerät jedoch in einem Hotpatch-Monat auf die neueste Windows-Version aktualisiert wird, wird das Gerät auf Standardupdates umgestellt. Sie müssen das Gerät neu starten, um das Update bis zur nächsten Baselineversion anzuwenden.

Hotpatch am Windows 11 Enterprise oder Windows Server 2025

Hinweis

Hotpatch ist auch auf Windows Server und Windows 365 verfügbar. Weitere Informationen finden Sie unter Hotpatch für Windows Server Azure Edition.

Hotpatch-Updates sind zwischen Windows 11 und Windows Server 2025 ähnlich.

  • Windows Autopatch verwaltet Windows 11 Updates
  • Azure Update Manager und optional Azure Arc-Abonnement für Windows 2025 Datacenter/Standard Editionen (lokal) verwaltet Windows Server 2025 Datacenter Azure Edition. Weitere Informationen zu Windows Server und Windows 365 finden Sie unter Hotpatch für Windows Server Azure Edition.

Die Kalenderdaten, acht Hotpatch-Monate und vier Basismonate, die jedes Jahr geplant sind, sind für alle hotpatch-unterstützten Betriebssysteme (Os) identisch. Es ist möglich, dass zusätzliche Baselinemonate für ein Betriebssystem (z. B. Windows Server 2022) vorhanden sind, während es für ein anderes Betriebssystem Hotpatch-Monate gibt, z. B. Server 2025 oder Windows 11, Version 24H2. Lesen Sie die Versionshinweise von Windows Release Health , um auf dem neuesten Stand zu bleiben.

Registrieren von Geräten für den Empfang von Hotpatch-Updates

Hinweis

Wenn Sie Autopatch-Gruppen verwenden und möchten, dass Ihre Geräte Hotpatch-Updates erhalten, müssen Sie eine Hotpatch-Richtlinie erstellen und ihr Geräte zuweisen. Durch das Aktivieren von Hotpatch-Updates wird die Verzögerungseinstellung nicht geändert, die auf Geräte innerhalb einer Autopatch-Gruppe angewendet wird.

So registrieren Sie Geräte für den Empfang von Hotpatch-Updates:

  1. Wechseln Sie zum Intune Admin Center.
  2. Wählen Sie im linken Navigationsmenü Geräte aus.
  3. Wählen Sie im Abschnitt Updates verwaltendie Option Windows-Updates aus.
  4. Wechseln Sie zur Registerkarte Qualitätsupdates .
  5. Wählen Sie Erstellen und dann Windows-Qualitätsupdaterichtlinie aus.
  6. Geben Sie im Abschnitt Grundlagen einen Namen für Ihre neue Richtlinie ein, und wählen Sie Weiter aus.
  7. Stellen Sie im Abschnitt Einstellungen sicher, dass die Option "Wenn verfügbar, ohne Neustart des Geräts anwenden ("Hotpatch") auf Zulassen festgelegt ist. Wählen Sie dann Weiter aus.
  8. Wählen Sie die entsprechenden Bereichstags aus, oder übernehmen Sie die Einstellung Standard. Wählen Sie dann Weiter aus.
  9. Weisen Sie die Geräte der Richtlinie zu, und wählen Sie Weiter aus.
  10. Überprüfen Sie die Richtlinie, und wählen Sie Erstellen aus.
  11. Sie können auch die vorhandene Windows-Qualitätsupdaterichtliniebearbeiten und die Option "Wenn verfügbar, ohne Neustart des Geräts anwenden ("Hotpatch") auf Zulassen festlegen.

Mit diesen Schritten wird sichergestellt, dass Zielgeräte, die zum Empfangen von Hotpatch-Updates berechtigt sind, ordnungsgemäß konfiguriert sind. Nicht berechtigte Geräte werden mit den neuesten kumulativen Updates (LCU) angeboten.

Hinweis

Durch das Aktivieren von Hotpatch-Updates werden die vorhandenen termingesteuerten oder geplanten Installationskonfigurationen auf Ihren verwalteten Geräten nicht geändert. Die Einstellungen für Zurückstellung und aktive Stunde gelten weiterhin.

Zurücksetzen eines Hotpatchupdates

Das automatische Rollback eines Hotpatch-Updates wird nicht unterstützt, sie können jedoch deinstalliert werden. Wenn ein unerwartetes Problem mit Hotpatch-Updates auftritt, können Sie dies untersuchen, indem Sie das Hotpatch-Update deinstallieren und das neueste kumulative Standardupdate (Standard Cumulative Update, LCU) installieren und neu starten. Das Deinstallieren eines Hotpatch-Updates ist schnell, erfordert jedoch einen Geräteneustart.

Problembehandlung für Hotpatch-Updates

Schritt 1: Überprüfen Sie, ob das Gerät für Hotpatch-Updates und eine Hotpatch-Baseline geeignet ist, bevor das Hotpatch-Update installiert wird.

Hotpatching folgt dem Hotpatch-Releasezyklus. Überprüfen Sie die Voraussetzungen, um sicherzustellen, dass das Gerät für Hotpatch-Updates geeignet ist. Informationen zu Geräten, die die Voraussetzungen nicht erfüllen, finden Sie unter Nicht berechtigte Geräte.

Den neuesten Releasezeitplan finden Sie in den Hotpatch-Versionshinweisen. Informationen zum Windows-Updateverlauf finden Sie unter Windows 11 Updateverlauf der Version 24H2.

Schritt 2: Überprüfen, ob auf dem Gerät virtualisierungsbasierte Sicherheit (VBS) aktiviert ist

  1. Wählen Sie Start aus, und geben Sie System information in suchen ein.
  2. Wählen Sie in den Ergebnissen Systeminformationen aus.
  3. Suchen Sie unter Systemzusammenfassung in der Spalte Element nach Virtualisierungsbasierte Sicherheit.
  4. Stellen Sie sicher, dass in der Spalte Wertder Status Wird ausgeführt angezeigt wird.

Schritt 3: Überprüfen, ob das Gerät ordnungsgemäß konfiguriert ist, um Hotpatch-Updates zu aktivieren

  1. Überprüfen Sie Intune Die konfigurierten Richtlinien in Autopatch, um zu sehen, für welche Gerätegruppen eine Hotpatch-Richtlinie gelten, indem Sie zur Seite Windows Update>Quality Updates wechseln.
  2. Stellen Sie sicher, dass die Hotpatch-Updaterichtlinie auf Zulassen festgelegt ist.
  3. Wählen Sie auf dem Gerät Starteinstellungen>>aus Windows Update>Erweiterte Optionen>Konfigurierte Updaterichtlinien> finden Sie unter Hotpatching aktivieren, wenn verfügbar. Diese Einstellung gibt an, dass das Gerät bei Hotpatch-Updates registriert ist, wie durch Autopatch konfiguriert.

Schritt 4: Deaktivieren der kompilierten Hybrid PE-Nutzung (CHPE) (nur Arm64-CPU)

Weitere Informationen finden Sie unter Arm 64-Geräte müssen die kompilierte Hybrid PE-Nutzung (CHPE) deaktivieren (nur Arm 64-CPU).

Schritt 5: Verwenden der Ereignisanzeige, um sicherzustellen, dass auf dem Gerät Hotpatch-Updates aktiviert sind

  1. Klicken Sie mit der rechten Maustaste auf das Startmenü , und wählen Sie Ereignisanzeige aus.

  2. Suchen Sie im Filter nach AllowRebootlessUpdates . Wenn AllowRebootlessUpdates auf 1festgelegt ist, wird das Gerät in der Autopatch-Updaterichtlinie registriert und hotpatch-Updates aktiviert:

    "data": { "payload": "{\"Orchestrator\":{\"UpdatePolicy\":{\"Update/AllowRebootlessUpdates\":true}}}", "isEnrolled": 1, "isCached": 1, "vbsState": 2,

Schritt 6: Überprüfen von Windows-Protokollen auf Hotpatch-Fehler

Hotpatch-Updates stellen einen Posteingangsüberwachungsdienst bereit, der die Integrität der auf dem Gerät installierten Updates überprüft. Wenn der Überwachungsdienst einen Fehler erkennt, protokolliert der Dienst ein Ereignis in den Windows-Anwendungsprotokollen. Wenn ein kritischer Fehler auftritt, installiert das Gerät das Standardupdate (LCU), um sicherzustellen, dass das Gerät vollständig sicher ist.

  1. Klicken Sie mit der rechten Maustaste auf das Startmenü , und wählen Sie Ereignisanzeige aus.
  2. Suchen Sie im Filter nach Hotpatch , um die Protokolle anzuzeigen.
  • Last updated on