Condividi tramite

Aggiornamenti Hotpatch

Con gli aggiornamenti hotpatch, è possibile adottare rapidamente misure per proteggere l'organizzazione dall'evoluzione del panorama degli attacchi informatici, riducendo al minimo le interruzioni degli utenti. Gli aggiornamenti hotpatch sono aggiornamenti della sicurezza delle versioni B mensili che vengono installati e applicati senza che sia necessario riavviare il dispositivo. Riducendo al minimo la necessità di riavviare, questi aggiornamenti garantiscono una conformità più rapida, rendendo più semplice per le organizzazioni mantenere la sicurezza mantenendo i flussi di lavoro ininterrotti.

Hotpatch è un'estensione di Windows Update e richiede l'aggiornamento automatico per creare e distribuire hotpatches nei dispositivi registrati nei criteri di aggiornamento della qualità di Autopatch.

Principali vantaggi

  • Gli aggiornamenti hotpatch semplificano il processo di installazione e migliorano l'efficienza di conformità.
  • Non sono necessarie modifiche alle configurazioni dell'anello di aggiornamento esistenti. Le configurazioni degli anelli esistenti vengono rispettate insieme ai criteri hotpatch.
  • Il report aggiornamento qualità Hotpatch fornisce una visualizzazione a livello di criterio degli stati di aggiornamento correnti per tutti i dispositivi che ricevono gli aggiornamenti hotpatch.
  • Le dimensioni del pacchetto hotpatch sono notevolmente inferiori rispetto agli aggiornamenti cumulativi standard. Pertanto, gli aggiornamenti hotpatch vengono installati più velocemente e consumano meno larghezza di banda di rete. Altri dettagli sono condivisi nel blog sull'efficienza di Hotpatch sbloccato: Dimensioni di aggiornamento più piccole .

Prerequisiti

Per trarre vantaggio dagli aggiornamenti di Hotpatch, i dispositivi devono soddisfare i prerequisiti seguenti:

  • Una delle licenze idonee: Windows 11 Enterprise E3 o E5, Microsoft 365 F3, Windows 11 Education A3 o A5, Microsoft 365 Business Premium o Windows 365 Enterprise
  • Windows 11 versione 24H2 o successiva
  • I dispositivi devono essere nella versione di rilascio di base più recente per qualificarsi per gli aggiornamenti hotpatch. Microsoft rilascia gli aggiornamenti di base trimestralmente come aggiornamenti cumulativi standard. Per altre informazioni sulla pianificazione più recente per queste versioni, vedere Note sulla versione per Hotpatch.
  • Microsoft Intune per gestire la distribuzione degli aggiornamenti hotpatch con i criteri di aggiornamento qualità di Windows con hotpatch attivato.

Prerequisiti di configurazione del sistema operativo

Per preparare un dispositivo a ricevere gli aggiornamenti hotpatch, configurare le impostazioni del sistema operativo seguenti nel dispositivo. È necessario configurare queste impostazioni per offrire al dispositivo l'aggiornamento hotpatch e per applicare tutti gli aggiornamenti hotpatch.

Sicurezza basata su virtualizzazione (VBS)

Vbs deve essere attivato per offrire aggiornamenti hotpatch a un dispositivo. Per informazioni su come impostare e rilevare se VBS è abilitato, vedere Virtualization-based Security (VBS).For information on how to set and detect if VBS is enabled, see Virtualization-based Security (VBS).

Vbs è necessario per il funzionamento del programma di installazione dell'aggiornamento hotpatch. Per abilitare VBS, è possibile usare la tecnologia CSP VirtualizationBasedTechnology. Per altre informazioni, vedere VirtualizationBasedTechnology.

Nota

I dispositivi potrebbero non essere idonei temporaneamente perché non hanno VBS abilitato o non sono attualmente nella versione di base più recente. Per assicurarsi che tutti i dispositivi Windows siano configurati correttamente per essere idonei per gli aggiornamenti hotpatch, vedere Risolvere i problemi relativi agli aggiornamenti hotpatch. È anche possibile trovare lo stato VBS negli avvisi e nella correzione automatica con l'avviso "Hotpatch – VBS non in esecuzione".

I dispositivi Arm 64 devono disabilitare l'utilizzo ibrido compilato di PE (CHPE) (solo CPU Arm 64)

CHPE (Compiled Hybrid Portable Executable) è un tipo di file binario che migliora le prestazioni delle applicazioni a 32 bit (x86) in esecuzione nei dispositivi Arm64. I file binari CHPE includono codice Arm64 e x86 nativo, consentendo a Windows di eseguire applicazioni x86 in modo più efficiente nei PC basati su Arm.

Questo requisito si applica solo ai dispositivi CPU Arm64 quando si usano gli aggiornamenti hotpatch. Gli aggiornamenti hotpatch non sono compatibili con i file binari del sistema operativo CHPE di manutenzione che si trovano nella %SystemRoot%\SyChpe32 cartella.

Nota

CHPE è rilevante solo per gli ambienti in cui è necessario Microsoft Kaizala x86 a 32 bit o altre applicazioni x86 legacy nei dispositivi Arm64.

Se non si è certi dell'edizione delle applicazioni in esecuzione e se potrebbero non riuscire durante la disabilitazione di CHPE, vedere Scegliere tra la versione a 64 bit o a 32 bit di Office - supporto tecnico Microsoft.

L'errore dell'applicazione o i problemi di prestazioni possono derivare dalla disabilitazione dei file binari CHPE. Ciò può verificarsi se si esegue un programma a 32 bit, ad esempio codice VBA che usa istruzioni Declare o componenti aggiuntivi COM a 32 bit senza alternative a 64 bit. Per evitare questi problemi, aggiornare il programma a 64 bit o identificare i dispositivi che devono eseguire questi programmi ed escluderli dai criteri di aggiornamento qualità hotpatch.

Per indicazioni su come aggiornare le applicazioni a 32 bit a 64 bit, vedere Aggiornare l'architettura delle app da Arm32 a Arm64.

Per assicurarsi che vengano applicati tutti gli aggiornamenti hotpatch, è necessario disabilitare l'utilizzo di CHPE. Impostare il flag di disabilitazione CHPE e riavviare il dispositivo. È sufficiente impostare questo flag una sola volta. L'impostazione del Registro di sistema rimane applicata tramite gli aggiornamenti.

Per disabilitare i file binari CHPE, è possibile usare il CSP dei criteri di sistema DisableCHPE. Per altre informazioni, vedere DisableCHPE.

È anche possibile creare e/o impostare la chiave del Registro di sistema DWORD seguente: Path: HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management DWORD key value: HotPatchRestrictions=1

Importante

Il supporto per l'edizione a 32 bit di SDK per agenti Microsoft 365 nei dispositivi basati su Windows Arm sta terminando. Gli aggiornamenti delle nuove funzionalità sono stati arrestati a ottobre 2025 e gli aggiornamenti della sicurezza terminano a dicembre 2026. Se l'organizzazione usa ancora SDK per agenti Microsoft 365 a 32 bit nei PC basati su Windows Arm, vedere Fine del supporto per SDK per agenti Microsoft 365 a 32 bit nei PC basati su Windows Arm. Non è previsto il supporto degli aggiornamenti hotpatch nei dispositivi Arm64 con CHPE abilitato. La disabilitazione di CHPE è applicabile solo ai dispositivi Arm64.

Se si sceglie di non usare più gli aggiornamenti hotpatch, deselezionare il flag di disabilitazione CHPE (HotPatchRestrictions=0), quindi riavviare il dispositivo per attivare l'utilizzo di CHPE.

Dispositivi non idonei

I dispositivi che non soddisfano uno o più prerequisiti ricevono invece automaticamente l'aggiornamento cumulativo più recente. L'aggiornamento cumulativo più recente (LCU) contiene aggiornamenti mensili che sostituiscono gli aggiornamenti del mese precedente contenenti versioni di sicurezza e non di sicurezza.

Le unità LCU richiedono il riavvio del dispositivo, ma la LCU garantisce che il dispositivo rimanga completamente sicuro e conforme.

Nota

Se i dispositivi non sono idonei per gli aggiornamenti hotpatch, viene offerta la LCU. LCU mantiene le impostazioni dell'anello di aggiornamento configurate; non modifica le impostazioni.

Cicli di rilascio

Per altre informazioni sul calendario delle versioni per gli aggiornamenti hotpatch, vedere Note sulla versione per Hotpatch.

  • Baseline: include le correzioni di sicurezza più recenti, le nuove funzionalità cumulative e i miglioramenti. Riavvio necessario.

  • Hotpatch: include gli aggiornamenti della sicurezza. Non è richiesto alcun riavvio.

    Quarto Aggiornamenti di base (è necessario riavviare) Hotpatch (nessun riavvio richiesto)
    1 Gennaio Febbraio e marzo
    2 Aprile Maggio e giugno
    3 Luglio Agosto e settembre
    4 Ottobre Novembre e dicembre

Durante un mese di hotpatch, se un dispositivo dispone di aggiornamenti hotpatch abilitati ma non è disponibile nell'aggiornamento di base più recente, il dispositivo riceverà sia l'aggiornamento di base più recente (riavvio necessario) che l'aggiornamento hotpatch più recente.

Nota

L'aggiornamento di un dispositivo registrato con hotpatch all'ultima versione di Windows (ad esempio, l'aggiornamento da Windows 11 24H2 a Windows 11 25H2) durante un mese di base mantiene il dispositivo nel ciclo hotpatch e il dispositivo continua a ricevere gli aggiornamenti hotpatch senza problemi. Tuttavia, l'aggiornamento di un dispositivo alla versione più recente di Windows in un mese hotpatch passa al dispositivo agli aggiornamenti standard; è necessario riavviare il dispositivo per applicare l'aggiornamento fino alla versione di base successiva.

Hotpatch su Windows 11 Enterprise o Windows Server 2025

Nota

Hotpatch è disponibile anche su Windows Server e Windows 365. Per altre informazioni, vedere Hotpatch for Windows Server Azure Edition.

Gli aggiornamenti hotpatch sono simili tra Windows 11 e Windows Server 2025.

  • Windows Autopatch gestisce gli aggiornamenti Windows 11
  • Gestore aggiornamenti di Azure e la sottoscrizione facoltativa Azure Arc per Windows 2025 Datacenter/Standard Editions (locale) gestisce Windows Server 2025 Datacenter Azure Edition. Per altre informazioni, su Windows Server e Windows 365, vedere Hotpatch for Windows Server Azure Edition.

Le date del calendario, otto mesi di hotpatch e quattro mesi di base, pianificate ogni anno, sono le stesse per tutti i sistemi operativi supportati da hotpatch. È possibile per mesi di base aggiuntivi per un sistema operativo (ad esempio, Windows Server 2022), mentre sono previsti mesi di hotpatch per un altro sistema operativo, ad esempio Server 2025 o Windows 11 versione 24H2. Esaminare le note sulla versione dell'integrità delle versioni di Windows per rimanere aggiornati.

Registrare i dispositivi per ricevere gli aggiornamenti hotpatch

Nota

Se si usano gruppi di supporto automatico e si vuole che i dispositivi ricevano gli aggiornamenti di Hotpatch, è necessario creare un criterio hotpatch e assegnarvi i dispositivi. L'attivazione degli aggiornamenti di Hotpatch non modifica l'impostazione di rinvio applicata ai dispositivi all'interno di un gruppo di creazione automatica.

Per registrare i dispositivi per ricevere gli aggiornamenti hotpatch:

  1. Passare all'interfaccia di amministrazione Intune.
  2. Selezionare Dispositivi dal menu di spostamento a sinistra.
  3. Nella sezione Gestisci aggiornamenti selezionare Aggiornamenti di Windows.
  4. Passare alla scheda Aggiornamenti qualitativi .
  5. Selezionare Crea e selezionare Criteri di aggiornamento qualità windows.
  6. Nella sezione Informazioni di base immettere un nome per il nuovo criterio e selezionare Avanti.
  7. Nella sezione Impostazioni verificare che l'opzione "Quando disponibile, applicare senza riavviare il dispositivo ("Hotpatch") sia impostata su Consenti. Seleziona poi Avanti.
  8. Selezionare i tag di ambito appropriati o lasciare predefinito. Seleziona poi Avanti.
  9. Assegnare i dispositivi ai criteri e selezionare Avanti.
  10. Esaminare i criteri e selezionare Crea.
  11. È anche possibile modificare i criteri di aggiornamento qualità di Windows esistenti e impostare "Quando disponibile, applica senza riavviare il dispositivo ("Hotpatch") su Consenti.

Questi passaggi garantiscono che i dispositivi di destinazione, idonei a ricevere gli aggiornamenti hotpatch, siano configurati correttamente. Ai dispositivi non idonei vengono offerti gli aggiornamenti cumulativi più recenti.Ineligible devices are offered the latest cumulative updates (LCU).

Nota

L'attivazione degli aggiornamenti hotpatch non modifica le configurazioni di installazione pianificate o basate su scadenza esistenti nei dispositivi gestiti. Le impostazioni relative al rinvio e all'ora attiva sono ancora valide.

Eseguire il rollback di un aggiornamento hotpatch

Il rollback automatico di un aggiornamento hotpatch non è supportato, ma è possibile disinstallarli. Se si verifica un problema imprevisto con gli aggiornamenti hotpatch, è possibile analizzare disinstallando l'aggiornamento hotpatch e installando l'aggiornamento cumulativo standard più recente e riavviandolo. La disinstallazione di un aggiornamento hotpatch è rapida, tuttavia richiede un riavvio del dispositivo.

Risolvere i problemi relativi agli aggiornamenti hotpatch

Passaggio 1: Verificare che il dispositivo sia idoneo per gli aggiornamenti hotpatch e in una baseline di hotpatch prima dell'installazione dell'aggiornamento hotpatch

L'hotpatching segue il ciclo di rilascio della hotpatch. Esaminare i prerequisiti per assicurarsi che il dispositivo sia idoneo per gli aggiornamenti hotpatch. Per informazioni sui dispositivi che non soddisfano i prerequisiti, vedere Dispositivi non idonei.

Per la pianificazione della versione più recente, vedere le note sulla versione hotpatch. Per informazioni sulla cronologia degli aggiornamenti di Windows, vedere Windows 11 cronologia degli aggiornamenti versione 24H2.

Passaggio 2: Verificare che nel dispositivo sia attivata la sicurezza basata su virtualizzazione (VBS)

  1. Selezionare Start e immettere System information in Cerca.
  2. Selezionare Informazioni di sistema dai risultati.
  3. In Riepilogo sistema, nella colonna Elemento individuare Sicurezza basata su virtualizzazione.
  4. Nella colonna Valore verificare che sia in esecuzione.

Passaggio 3: Verificare che il dispositivo sia configurato correttamente per attivare gli aggiornamenti hotpatch

  1. In Intune esaminare i criteri configurati all'interno di Autopatch per vedere quali gruppi di dispositivi sono destinati a un criterio di hotpatch accedendo alla pagina Windows Update>Quality Aggiornamenti.
  2. Assicurarsi che il criterio di aggiornamento hotpatch sia impostato su Consenti.
  3. Nel dispositivo selezionareImpostazioni>di avvio>Windows Update>Opzioni> avanzateCriteri di aggiornamento> configurati trovare Abilita hotpatching quando disponibile. Questa impostazione indica che il dispositivo è registrato negli aggiornamenti hotpatch configurati da Autopatch.

Passaggio 4: Disabilitare l'utilizzo di PE ibrido compilato (CHPE) (solo CPU Arm64)

Per altre informazioni, vedere Arm 64 devices must disable compiled hybrid PE usage (CHPE) (Arm 64 CPU Only).

Passaggio 5: Usare visualizzatore eventi per verificare che il dispositivo abbia attivato gli aggiornamenti hotpatch

  1. Fare clic con il pulsante destro del mouse sul menu Start e scegliere Visualizzatore eventi.

  2. Cercare AllowRebootlessUpdates nel filtro. Se AllowRebootlessUpdates è impostato su 1, il dispositivo viene registrato nei criteri di aggiornamento di Autopatch e gli aggiornamenti hotpatch sono attivati:

    "data": { "payload": "{\"Orchestrator\":{\"UpdatePolicy\":{\"Update/AllowRebootlessUpdates\":true}}}", "isEnrolled": 1, "isCached": 1, "vbsState": 2,

Passaggio 6: Controllare i log di Windows per eventuali errori di hotpatch

Gli aggiornamenti hotpatch forniscono un servizio di monitoraggio della posta in arrivo che controlla l'integrità degli aggiornamenti installati nel dispositivo. Se il servizio di monitoraggio rileva un errore, il servizio registra un evento nei log delle applicazioni di Windows. Se si verifica un errore critico, il dispositivo installa l'aggiornamento standard (LCU) per assicurarsi che il dispositivo sia completamente sicuro.

  1. Fare clic con il pulsante destro del mouse sul menu Start e scegliere Visualizzatore eventi.
  2. Cercare hotpatch nel filtro per visualizzare i log.
  • Last updated on