Hotpatch för Windows-kvalitetsuppdateringar

Med hotpatch-uppdateringar kan du snabbt vidta åtgärder för att skydda din organisation från det växande landskapet av cyberattacker, samtidigt som användarstörningar minimeras. Hotpatch-uppdateringar är månatliga B-versionssäkerhetsuppdateringar som installeras och börjar gälla utan att du behöver starta om enheten. Genom att minimera behovet av att starta om säkerställer de här uppdateringarna snabbare efterlevnad, vilket gör det enklare för organisationer att upprätthålla säkerheten samtidigt som arbetsflödena inte avbryts.

Hotpatch-säkerhetsuppdateringar är aktiverade som standard för alla berättigade enheter i Microsoft Intune. Den här metoden hjälper organisationer att upprätthålla säkerhetsefterlevnad samtidigt som arbetsflödesavbrott minimeras.

Du kan konfigurera om hotpatch är aktiverat för dina enheter med hjälp av antingen en inställning på klientorganisationsnivå eller kvalitetsuppdateringsprinciper.

Viktiga fördelar

  • Snabbare säkerhet: Hotpatch-säkerhetskorrigeringar börjar gälla utan att en omstart krävs, vilket gör att enheterna blir säkrare mycket snabbare.
  • Minskat avbrott: Hotpatch installerar berättigade säkerhetsuppdateringar utan att det krävs någon omedelbar omstart av enheten, vilket hjälper användarna att vara produktiva.
  • Mindre nyttolaster: Hotpatch-paketstorleken är betydligt mindre än de kumulativa standarduppdateringarna.
  • Inga ändringar av befintliga uppdateringsringar: Befintliga uppdateringsringskonfigurationer fortsätter att gälla och respekteras tillsammans med hotpatch-konfigurationer.
  • Synlighet på principnivå: Rapporten hotpatch-kvalitetsuppdateringar ger en principnivåvy över uppdateringsstatus för enheter som tar emot hotpatch-uppdateringar.

Förhandskrav

Hotpatch har samma krav som windows kvalitetsuppdateringsprinciper. Se Krav för kvalitetsuppdatering. I det här avsnittet beskrivs ytterligare krav som är specifika för hotpatch.

Krav för enhetskonfiguration

Om du vill förbereda en enhet för att ta emot snabbkorrigeringsuppdateringar konfigurerar du följande operativsysteminställningar på enheten. Du måste konfigurera de här inställningarna för att enheten ska erbjudas hotpatch-uppdateringen och tillämpa alla hotpatch-uppdateringar.

Virtualiseringsbaserad säkerhet (VBS)
VBS måste vara aktiverat för att en enhet ska kunna erbjudas snabbkorrigeringsuppdateringar. Information om hur du anger och identifierar om VBS är aktiverat finns i Virtualiseringsbaserad säkerhet (VBS).

Obs!

Enheter kan vara tillfälligt oanvändbara eftersom de inte har VBS aktiverat eller för närvarande inte har den senaste baslinjeversionen. Information om hur du ser till att alla dina Windows-enheter är korrekt konfigurerade för att vara berättigade till hotpatch-uppdateringar finns i Felsöka hotpatch-uppdateringar.

Du kan också hitta VBS-status i Autopatch-aviseringar och reparation med aviseringen Hotpatch – VBS körs inte.

Arm 64-enheter måste inaktivera kompilerad HYBRID PE-användning (CHPE) (endast Arm 64 CPU)

För att säkerställa att alla hotpatch-uppdateringar tillämpas måste du ange flaggan För kompilerad portabel körbar hybrid (CHPE) och starta om enheten för att inaktivera CHPE-användning. Du behöver bara ange den här flaggan en gång. Registerinställningen tillämpas fortfarande via uppdateringar.

Det här kravet gäller endast för Arm 64 CPU-enheter när du använder snabbkorrigeringsuppdateringar. Hotpatch-uppdateringar är inte kompatibla med service av CHPE OS-binärfiler.

Om du vill inaktivera CHPE skapar du och/eller anger följande DWORD-registernyckel:

Sökvägen: HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management DWORD key value: HotPatchRestrictions=1

Mer information om CHPE finns i WOW64-implementeringsinformation

Obs!

Det finns inga planer på att stödja snabbkorrigeringsuppdateringar på Arm64-enheter med CHPE aktiverat. Inaktivering av CHPE krävs endast för Arm64-enheter. AMD- och Intel-processorer har inte CHPE. Om du väljer att inte längre använda hotpatch-uppdateringar avmarkerar du chpe-inaktiveringsflaggan () ochHotPatchRestrictions=0 startar sedan om enheten för att aktivera CHPE-användning.

Ej berättigade enheter

Enheter som inte uppfyller en eller flera krav får automatiskt den senaste kumulativa uppdateringen (LCU) i stället. Den senaste kumulativa uppdateringen (LCU) innehåller månatliga uppdateringar som ersätter den föregående månadens uppdateringar som innehåller både säkerhets- och icke-säkerhetsversioner.

LCUs kräver att du startar om enheten, men LCU säkerställer att enheten förblir helt säker och kompatibel.

Obs!

Om enheter inte är berättigade till hotpatch-uppdateringar erbjuds dessa enheter LCU. LCU behåller dina konfigurerade inställningar för uppdateringsringen, den ändrar inte inställningarna.

Versionscykler

Mer information om versionskalendern för snabbkorrigeringsuppdateringar finns i Viktig information för hotpatch.

  • Baslinje: Innehåller de senaste säkerhetskorrigeringarna, kumulativa nya funktioner och förbättringar. Omstart krävs.
  • Hotpatch: Innehåller säkerhetsuppdateringar. Ingen omstart krävs.
Quater Baslinjeuppdateringar (kräver omstart) Hotpatch (ingen omstart krävs)
1 Januari Februari och mars
2 April Maj och juni
3 Juli Augusti och september
4 Oktober November och december

Om hotpatch-uppdateringar är aktiverade för en enhet under en hotpatch-månad men inte har den senaste baslinjeuppdateringen får enheten både den senaste baslinjeuppdateringen (omstart krävs) och den senaste snabbkorrigeringsuppdateringen.

Obs!

Om du uppgraderar en hotpatch-registrerad enhet till den senaste Windows-versionen (t.ex. uppgradering från Windows 11 version 24H2 till Windows 11 version 25H2) under en baslinjemånad behålls enheten på hotpatch-cykeln och enheten fortsätter att ta emot hotpatch-uppdateringarna sömlöst. Om du uppgraderar en enhet till den senaste Windows-versionen under en hotpatch-månad växlar det dock enheten till standarduppdateringar. du måste starta om enheten för att tillämpa uppdateringen till nästa baslinjeversion.

Hotpatch på Windows 11 Enterprise eller Windows Server 2025

Obs!

Hotpatch finns också på Windows Server och Windows 365. Mer information finns i Hotpatch för Windows Server Azure Edition.

Hotpatch-uppdateringar liknar dem mellan Windows 11 och Windows Server 2025.

  • Windows Autopatch hanterar Windows 11 uppdateringar
  • Azure uppdateringshanterare och valfri Azure Arc-prenumeration för Windows 2025 Datacenter/Standard Editions (lokalt) hanterar Windows Server 2025 Datacenter Azure Edition.

Kalenderdatumen, åtta snabbkorrigeringsmånader och fyra baslinjemånader som planeras varje år är desamma för alla operativsystem som stöds av hotpatch. Det är möjligt för ytterligare baslinjemånader för ett operativsystem (till exempel Windows Server 2022), medan det finns hotpatch-månader för ett annat operativsystem, till exempel Server 2025 eller Windows 11 version 24H2. Läs viktig information i Windows versionshälsa.

Registrera enheter för att ta emot snabbkorrigeringsuppdateringar

Du kan aktivera snabbkorrigeringsuppdateringar för dina enheter med hjälp av en inställning på klientnivå eller principer för kvalitetsuppdatering. Inställningen för klientorganisationsnivå är standardinställningen som tillämpas på enheter som inte är medlemmar i en kvalitetsuppdateringsprincip. Om en enhet tilldelas en kvalitetsuppdateringsprincip tillämpas hotpatch-inställningen från den principen.

Standardinställning för hotpatch-klientorganisation

Standardklientinställningen tillämpas endast på enheter som inte är medlemmar i en kvalitetsuppdateringsprincip.

Windows Autopatch respekterar konfigurationen av kvalitetsuppdateringsprinciper. Om en enhet har tilldelats någon av dessa principer är hotpatch-inställningen från den principen den som tillämpas.

Konfigurera standardbeteendet för hotpatch-uppdatering för din klientorganisation på följande sätt:

  1. I Microsoft Intune administrationscenter väljer du Administration av klientorganisation>Windows Autopatch>Klientorganisationshantering.
  2. Välj fliken Klientinställningar .
  3. Växla inställningen När tillgänglig, tillämpa uppdateringar utan att starta om enheten ("hotpatch") till antingen Tillåt eller Blockera.

Konfigurera hotpatch med hjälp av kvalitetsuppdateringsprinciper.

Windows Autopatch respekterar konfigurationen av hotpatch-inställningen i kvalitetsuppdateringsprinciper. Om en enhet har tilldelats någon av dessa principer är hotpatch-inställningen från den principen den som tillämpas, inte standardinställningen för klientorganisationen.

Så här registrerar du enheter för att ta emot hotpatch-uppdateringar:

  1. I Microsoft Intune administrationscenter väljer du Enheter>Windows-uppdateringar.
  2. Välj fliken Kvalitetsuppdateringar .
  3. Välj Skapa och välj Windows kvalitetsuppdateringsprincip.
  4. Under avsnittet Grundläggande anger du ett namn för den nya principen och väljer Nästa.
  5. Under avsnittet Inställningar anger du När tillgängligt, använd utan att starta om enheten ("hotpatch") till Tillåt. Välj sedan Nästa.
  6. Välj lämpliga omfångstaggar eller lämna som Standard. Välj sedan Nästa.
  7. Tilldela enheterna till principen och välj Nästa.
  8. Granska principen och välj Skapa.

De här stegen säkerställer att målenheter som uppfyller behörighetskriterierna är korrekt konfigurerade. Se Förutsättningar. Ej berättigade enheter erbjuds de senaste kumulativa uppdateringarna (LCU). Se Vad gör en enhet inte berättigad.

Obs!

Om du aktiverar hotpatch-uppdateringar ändras inte befintliga konfigurationer för tidsgränsdrivna eller schemalagda installationer på dina hanterade enheter. Inställningarna för uppskjutning och aktiv timme gäller fortfarande.

Återställa en snabbkorrigeringsuppdatering

Automatisk återställning av en snabbkorrigeringsuppdatering stöds inte, men du kan avinstallera dem. Om du får ett oväntat problem med hotpatch-uppdateringar kan du undersöka detta genom att avinstallera hotpatch-uppdateringen och installera den senaste kumulativa standarduppdateringen (LCU) och starta om. Det går snabbt att avinstallera en snabb uppdatering, men det krävs en omstart av enheten.

Rapport om hotpatch-kvalitetsuppdateringar

När en princip för kvalitetsuppdatering i Windows har skapats med hotpatch-uppdateringar aktiverade kan du övervaka resultat, status för hotpatch-distribution och fel från rapporterna.

Den här rapporten visar det totala antalet målenheter och aktuella uppdateringstillstånd för alla hotpatch-uppdateringsaktiverade enheter.

Så här kommer du åt rapporten:

  1. I Microsoft Intune administrationscenter väljer du Rapporter
  2. Under avsnittet Windows Autopatch väljer du Kvalitetsuppdateringar för Windows
  3. På fliken Rapporter väljer du Hotpatch-kvalitetsuppdateringar.

Felsöka snabbkorrigeringsuppdateringar

Steg 1: Kontrollera att enheten är berättigad till hotpatch-uppdateringar och på en hotpatch-baslinje innan hotpatch-uppdateringen installeras

Hotpatching följer hotpatch-versionscykeln. Granska förutsättningarna för att säkerställa att enheten är berättigad till hotpatch-uppdateringar. Information om enheter som inte uppfyller kraven finns i Ej berättigade enheter.

Det senaste versionsschemat finns i viktig information om hotpatch. Information om Uppdateringshistorik för Windows finns i Windows 11, uppdateringshistorik för version 24H2.

Steg 2: Kontrollera att virtualiseringsbaserad säkerhet (VBS) är aktiverat på enheten

  1. Välj Start och ange Systeminformation i Sök.
  2. Välj Systeminformation i resultatet.
  3. Under Systemsammanfattning går du till kolumnen Objekt och letar upp Virtualiseringsbaserad säkerhet.
  4. Under kolumnen Värde kontrollerar du att den har statusen Körs.

Steg 3: Kontrollera att enheten är korrekt konfigurerad för att aktivera snabbkorrigeringsuppdateringar

  1. I Intune granskar du dina konfigurerade principer i Windows Autopatch för att se vilka grupper av enheter som är mål för en hotpatch-princip genom att gå till sidan Windows Update>Kvalitet Uppdateringar.
  2. Kontrollera att hotpatch-uppdateringsprincipen är inställd på Tillåt.
  3. På enheten väljer duStartinställningar>>Windows Update>Avancerade alternativ>Konfigurerade uppdateringsprinciper> hittar Aktivera snabbkorrigering när det är tillgängligt. Den här inställningen anger att enheten har registrerats i hotpatch-uppdateringar som konfigurerats av Windows Autopatch.

Steg 4: Inaktivera kompilerad HYBRID PE-användning (ENDAST ARM64 CPU)

Mer information finns i Arm 64-enheter måste inaktivera kompilerad HYBRID PE-användning (CHPE) (endast Arm 64-processor).

Steg 5: Använd Loggboken för att kontrollera att enheten har hotpatch-uppdateringar aktiverade

  1. Högerklicka på Start-menyn och välj Loggboken.
  2. Sök efter AllowRebootlessUpdates i filtret. Om AllowRebootlessUpdates har angetts till 1registreras enheten i windows autopatch-uppdateringsprincipen och hotpatch-uppdateringar är aktiverade: "data": { "payload": "{\"Orchestrator\":{\"UpdatePolicy\":{\"Update/AllowRebootlessUpdates\":true}}}", "isEnrolled": 1, "isCached": 1, "vbsState": 2,

Steg 6: Kontrollera Om det finns hotpatch-fel i Windows-loggarna

Hotpatch-uppdateringar tillhandahåller en inkorgsövervakningstjänst som kontrollerar hälsotillståndet för uppdateringarna som är installerade på enheten. Om övervakningstjänsten upptäcker ett fel loggar tjänsten en händelse i Windows-programloggarna. Om det uppstår ett kritiskt fel installerar enheten standarduppdateringen (LCU) för att säkerställa att enheten är helt säker.

  1. Högerklicka på Start-menyn och välj Loggboken.
  2. Sök efter hotpatch i filtret för att visa loggarna.
  • Last updated on