Hotpatch voor Windows-kwaliteitsupdates

Met hotpatch-updates kunt u snel maatregelen nemen om uw organisatie te beschermen tegen het veranderende landschap van cyberaanvallen, terwijl gebruikersonderbrekingen worden geminimaliseerd. Hotpatch-updates zijn maandelijkse B-beveiligingsupdates die worden geïnstalleerd en van kracht worden zonder dat u het apparaat opnieuw hoeft op te starten. Door de noodzaak om opnieuw op te starten te minimaliseren, zorgen deze updates voor een snellere naleving, waardoor organisaties gemakkelijker de beveiliging kunnen handhaven terwijl werkstromen ononderbroken blijven.

Hotpatch-beveiligingsupdates zijn standaard ingeschakeld voor alle in aanmerking komende apparaten in Microsoft Intune. Deze aanpak helpt organisaties om naleving van de beveiliging te handhaven en werkstroomonderbrekingen te minimaliseren.

U kunt configureren of hotpatch is ingeschakeld voor uw apparaten met behulp van een instelling op tenantniveau of kwaliteitsupdatebeleid.

Belangrijkste voordelen

  • Snellere beveiliging: Hotpatch-beveiligingspatchfixes worden van kracht zonder opnieuw op te starten, waardoor apparaten veel sneller worden beveiligd.
  • Minder onderbreking: Hotpatch installeert in aanmerking komende beveiligingsupdates zonder dat het apparaat onmiddellijk opnieuw hoeft te worden opgestart, zodat gebruikers productief blijven.
  • Kleinere nettoladingen: de grootte van hotpatch-pakketten is aanzienlijk kleiner dan de cumulatieve standaardupdates.
  • Geen wijzigingen in bestaande update-ringen: bestaande updateringconfiguraties blijven van kracht en worden naast hotpatch-configuraties uitgevoerd.
  • Zichtbaarheid op beleidsniveau: het rapport over kwaliteitsupdates voor hotpatchs biedt een weergave op beleidsniveau van de updatestatus voor apparaten die hotpatch-updates ontvangen.

Vereisten

Hotpatch heeft dezelfde vereisten als het beleid voor kwaliteitsupdates van Windows. Zie Vereisten voor kwaliteitsupdates. In deze sectie worden aanvullende vereisten beschreven die specifiek zijn voor hotpatchs.

Apparaatconfiguratievereisten

Als u een apparaat wilt voorbereiden op het ontvangen van hotpatch-updates, configureert u de volgende besturingssysteeminstellingen op het apparaat. U moet deze instellingen configureren voor het apparaat om de hotpatch-update te kunnen aanbieden en om alle hotpatch-updates toe te passen.

Beveiliging op basis van virtualisatie (VBS)
VBS moet zijn ingeschakeld om een apparaat hotpatch-updates te kunnen aanbieden. Zie Beveiliging op basis van virtualisatie (VBS) voor meer informatie over het instellen en detecteren of VBS is ingeschakeld.

Opmerking

Apparaten komen mogelijk tijdelijk niet in aanmerking omdat VBS niet is ingeschakeld of zich momenteel niet in de meest recente basislijnrelease bevinden. Zie Problemen met hotpatch-updates oplossen om ervoor te zorgen dat al uw Windows-apparaten correct zijn geconfigureerd om in aanmerking te komen voor hotpatch-updates.

U kunt de VBS-status ook vinden in Automatischepatch-waarschuwingen en herstel met de waarschuwing Hotpatch - VBS wordt niet uitgevoerd.

Arm 64-apparaten moeten gecompileerd hybride PE-gebruik (CHPE) uitschakelen (alleen Arm 64 CPU)

Om ervoor te zorgen dat alle hotpatch-updates worden toegepast, moet u de vlag Compiled Hybrid Portable Executable (CHPE) uitschakelen instellen en het apparaat opnieuw opstarten om chpe-gebruik uit te schakelen. U hoeft deze vlag slechts één keer in te stellen. De registerinstelling blijft toegepast via updates.

Deze vereiste is alleen van toepassing op Arm 64 CPU-apparaten bij het gebruik van hotpatch-updates. Hotpatch-updates zijn niet compatibel met het onderhoud van binaire CHPE-besturingssysteembestanden.

Als u CHPE wilt uitschakelen, maakt en/of stelt u de volgende DWORD-registersleutel in:

Pad: HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management DWORD key value: HotPatchRestrictions=1

Zie WOW64-implementatiedetails voor meer informatie over CHPE

Opmerking

Er zijn geen plannen voor ondersteuning van hotpatch-updates op Arm64-apparaten waarop CHPE is ingeschakeld. Het uitschakelen van CHPE is alleen vereist voor Arm64-apparaten. AMD- en Intel-CPU's hebben geen CHPE. Als u ervoor kiest om geen hotpatch-updates meer te gebruiken, wist u de CHPE-vlag uitschakelen (HotPatchRestrictions=0) en start u het apparaat opnieuw op om CHPE-gebruik in te schakelen.

Niet in aanmerking komende apparaten

Apparaten die niet voldoen aan een of meer vereisten ontvangen in plaats daarvan automatisch de meest recente cumulatieve update (LCU). Meest recente cumulatieve update (LCU) bevat maandelijkse updates die de updates van de vorige maand vervangen die zowel beveiligings- als niet-beveiligingsupdates bevatten.

Voor LPU's moet u het apparaat opnieuw opstarten, maar de LCU zorgt ervoor dat het apparaat volledig veilig en compatibel blijft.

Opmerking

Als apparaten niet in aanmerking komen voor hotpatch-updates, krijgen deze apparaten de LCU aangeboden. De LCU behoudt uw geconfigureerde instellingen voor updatering. De instellingen worden niet gewijzigd.

Releasecycli

Zie Releaseopmerkingen voor hotpatchs voor meer informatie over de releasekalender voor hotpatch-updates.

  • Basislijn: bevat de nieuwste beveiligingspatches, cumulatieve nieuwe functies en verbeteringen. Opnieuw opstarten vereist.
  • Hotpatch: bevat beveiligingsupdates. Niet opnieuw opgestart vereist.
Kwartaal Basislijnupdates (opnieuw opstarten vereist) Hotpatch (niet opnieuw opstarten vereist)
1 Januari Februari en maart
2 April Mei en juni
3 Juli Augustus en september
4 Oktober November en december

Als op een apparaat hotpatch-updates zijn ingeschakeld, maar niet de meest recente basislijnupdate is ingeschakeld, ontvangt het apparaat tijdens een hotpatchmaand zowel de meest recente basislijnupdate (opnieuw opstarten vereist) als de meest recente hotpatch-update.

Opmerking

Als u een hotpatch-apparaat tijdens een maand volgens de basislijn bijwerken naar de nieuwste Windows-versie (bijvoorbeeld een upgrade van Windows 11, versie 24H2 naar Windows 11, versie 25H2) blijft het apparaat in de hotpatch-cyclus en blijft het apparaat naadloos de hotpatch-updates ontvangen. Als u echter een apparaat upgradet naar de nieuwste Windows-versie in een hotpatch-maand, wordt het apparaat overgeschakeld naar standaardupdates; u moet het apparaat opnieuw opstarten om de update toe te passen tot de volgende basislijnrelease.

Hotpatch op Windows 11 Enterprise of Windows Server 2025

Opmerking

Hotpatch is ook beschikbaar op Windows Server en Windows 365. Zie Hotpatch voor Windows Server Azure Edition voor meer informatie.

Hotpatch-updates zijn vergelijkbaar tussen Windows 11 en Windows Server 2025.

  • Windows Autopatch beheert Windows 11 updates
  • Azure Update Manager en optioneel Azure Arc-abonnement voor Windows 2025 Datacenter/Standard Editions (on-premises) beheert Windows Server 2025 Datacenter Azure Edition.

De kalenderdatums, acht hotpatchmaanden en vier basislijnmaanden die elk jaar zijn gepland, zijn hetzelfde voor alle hotpatch-ondersteunde besturingssystemen. Het is mogelijk voor extra basislijnmaanden voor het ene besturingssysteem (bijvoorbeeld Windows Server 2022), terwijl er hotpatch-maanden zijn voor een ander besturingssysteem, zoals Server 2025 of Windows 11, versie 24H2. Bekijk de releaseopmerkingen bij de windows-releasestatus.

Apparaten inschrijven om hotpatch-updates te ontvangen

U kunt hotpatch-updates voor uw apparaten inschakelen met behulp van een instelling op tenantniveau of kwaliteitsupdatebeleid. De instelling op tenantniveau is de standaardinstelling die wordt toegepast op apparaten die geen lid zijn van een kwaliteitsupdatebeleid. Als een apparaat is toegewezen aan een kwaliteitsupdatebeleid, wordt de hotpatch-instelling van dat beleid toegepast.

Standaardinstelling voor hotpatchtenant

De standaardtenantinstelling wordt alleen toegepast op apparaten die geen lid zijn van een kwaliteitsupdatebeleid.

Windows Autopatch respecteert uw configuratie van beleid voor kwaliteitsupdates. Als een apparaat is toegewezen aan een van deze beleidsregels, wordt de hotpatch-instelling van dat beleid toegepast.

Configureer het standaardgedrag van hotpatch-updates voor uw tenant als volgt:

  1. Selecteer in het Microsoft Intune-beheercentrumtenantbeheer>Windows Autopatch>Tenantbeheer.
  2. Selecteer het tabblad Tenantinstellingen .
  3. Schakel de instelling Indien beschikbaar, updates toepassen zonder het apparaat opnieuw op te starten ('hotpatch') in op Toestaan of Blokkeren.

Hotpatch configureren met behulp van kwaliteitsupdatebeleid.

Windows Autopatch respecteert uw configuratie van de hotpatch-instelling in kwaliteitsupdatebeleid. Als een apparaat is toegewezen aan een van deze beleidsregels, wordt de hotpatch-instelling van dat beleid toegepast, niet de standaardinstelling van de tenant.

Apparaten inschrijven voor het ontvangen van hotpatch-updates:

  1. Selecteer apparaten>Windows-updatesin het Microsoft Intune-beheercentrum.
  2. Selecteer het tabblad Kwaliteitsupdates .
  3. Selecteer Maken en selecteer Windows-kwaliteitsupdatebeleid.
  4. Voer in de sectie Basisbeginselen een naam in voor uw nieuwe beleid en selecteer Volgende.
  5. Stel in de sectie Instellingende optie Indien beschikbaar, toepassen zonder het apparaat opnieuw op te starten ('hotpatch') in op Toestaan. Selecteer vervolgens Volgende.
  6. Selecteer de juiste bereiktags of laat standaard staan. Selecteer vervolgens Volgende.
  7. Wijs de apparaten toe aan het beleid en selecteer Volgende.
  8. Controleer het beleid en selecteer Maken.

Deze stappen zorgen ervoor dat doelapparaten die voldoen aan de geschiktheidscriteria correct worden geconfigureerd. Zie Vereisten. Niet in aanmerking komende apparaten worden aangeboden met de nieuwste cumulatieve updates (LCU). Zie Waardoor komt een apparaat niet in aanmerking.

Opmerking

Als u hotpatch-updates inschakelt, worden de bestaande, deadlinegestuurde of geplande installatieconfiguraties op uw beheerde apparaten niet gewijzigd. De instellingen voor uitstel en actief uur zijn nog steeds van toepassing.

Een hotpatch-update terugdraaien

Automatisch terugdraaien van een hotpatch-update wordt niet ondersteund, maar u kunt deze verwijderen. Als u een onverwacht probleem ondervindt met hotpatch-updates, kunt u dit onderzoeken door de hotpatch-update te verwijderen en de meest recente cumulatieve standaardupdate (LCU) te installeren en opnieuw op te starten. Het verwijderen van een hotpatch-update is snel, maar hiervoor moet het apparaat opnieuw worden opgestart.

Rapport voor kwaliteitsupdates voor hotpatchs

Nadat een Windows-kwaliteitsupdatebeleid is gemaakt met hotpatch-updates ingeschakeld, kunt u resultaten, hotpatch-implementatiestatus en fouten in de rapporten bewaken.

Dit rapport toont het totale aantal beoogde apparaten en de huidige updatestatussen van alle apparaten met hotpatch-updates.

Ga als volgende te werk om het rapport te openen:

  1. Selecteer rapporten in het Microsoft Intune-beheercentrum
  2. Selecteer in de sectie Windows Autopatchde optie Windows-kwaliteitsupdates
  3. Selecteer op het tabblad Rapportende optie Rapport voor kwaliteitsupdates hotpatch.

Problemen met hotpatch-updates oplossen

Stap 1: controleer of het apparaat in aanmerking komt voor hotpatch-updates en op een hotpatch-basislijn voordat de hotpatch-update wordt geïnstalleerd

Hotpatching volgt de hotpatch-releasecyclus. Controleer de vereisten om te controleren of het apparaat in aanmerking komt voor hotpatch-updates. Zie Niet in aanmerking komende apparaten voor informatie over apparaten die niet voldoen aan de vereisten.

Zie de releaseopmerkingen voor hotpatchs voor het meest recente releaseschema. Zie updategeschiedenis van Windows 11 versie 24H2 voor meer informatie over de geschiedenis van Windows-updates.

Stap 2: controleer of op het apparaat beveiliging op basis van virtualisatie (VBS) is ingeschakeld

  1. Selecteer Start en voer Systeemgegevens in bij Zoeken.
  2. Selecteer Systeemgegevens in de resultaten.
  3. Zoek onder Systeemoverzicht, onder de kolom Item, beveiliging op basis van virtualisatie.
  4. Zorg ervoor dat onder de kolom Waardede status Wordt uitgevoerd.

Stap 3: controleer of het apparaat juist is geconfigureerd om hotpatch-updates in te schakelen

  1. Controleer in Intune uw geconfigureerde beleid in Windows Autopatch om te zien op welke groepen apparaten een hotpatch-beleid is toegepast door naar de pagina Windows Update>Quality Updates te gaan.
  2. Zorg ervoor dat het hotpatch-updatebeleid is ingesteld op Toestaan.
  3. Selecteer op het apparaatStart-instellingen>>Windows Update>Geavanceerde opties>Geconfigureerd updatebeleid>, zoek Hotpatching inschakelen indien beschikbaar. Deze instelling geeft aan dat het apparaat is ingeschreven in hotpatch-updates zoals geconfigureerd door Windows Autopatch.

Stap 4: Gecompileerd hybride PE-gebruik (CHPE) uitschakelen (alleen Arm64 CPU)

Zie Arm 64-apparaten moeten gecompileerd hybride PE-gebruik (CHPE) (alleen Arm 64 CPU) uitschakelen voor meer informatie.

Stap 5: Logboeken gebruiken om te controleren of op het apparaat hotpatch-updates zijn ingeschakeld

  1. Klik met de rechtermuisknop op het startmenu en selecteer Logboeken.
  2. Zoek naar AllowRebootlessUpdates in het filter. Als AllowRebootlessUpdates is ingesteld op 1, wordt het apparaat ingeschreven bij het Windows Autopatch-updatebeleid en zijn hotpatch-updates ingeschakeld: "data": { "payload": "{\"Orchestrator\":{\"UpdatePolicy\":{\"Update/AllowRebootlessUpdates\":true}}}", "isEnrolled": 1, "isCached": 1, "vbsState": 2,

Stap 6: Windows-logboeken controleren op hotpatch-fouten

Hotpatch-updates bieden een postvak IN-monitorservice die controleert op de status van de updates die op het apparaat zijn geïnstalleerd. Als de bewakingsservice een fout detecteert, registreert de service een gebeurtenis in de Windows-toepassingslogboeken. Als er een kritieke fout optreedt, installeert het apparaat de standaardupdate (LCU) om ervoor te zorgen dat het apparaat volledig veilig is.

  1. Klik met de rechtermuisknop op het startmenu en selecteer Logboeken.
  2. Zoek naar hotpatch in het filter om de logboeken weer te geven.
  • Last updated on