Freigeben über

Hotpatch-Updates (öffentliche Vorschau)

  • Artikel

Wichtig

Die Informationen im Abschnitt gelten für Business Premium-, A3+-, E3+- und F3-Lizenzen. Weitere Informationen finden Sie unter Features und Funktionen und Lizenzen und Berechtigungen.

Wichtig

Dieses Feature befindet sich in der öffentlichen Vorschau. Es wird aktiv entwickelt und ist möglicherweise nicht vollständig. Sie werden als "Vorschau" verfügbar gemacht. Sie können diese Features in Produktionsumgebungen und -szenarien testen und verwenden und Feedback geben.

Hotpatch-Updates wurden entwickelt, um Ausfallzeiten und Unterbrechungen zu reduzieren. Hotpatch-Updates sind monatliche B-Sicherheitsupdates , die installiert und wirksam werden, ohne dass Sie das Gerät neu starten müssen. Durch die Minimierung der Notwendigkeit eines Neustarts tragen diese Updates dazu bei, die Compliance zu beschleunigen, sodass Organisationen die Aufrechterhaltung der Sicherheit bei gleichzeitiger Unterbrechung von Workflows erleichtern.

Hotpatch ist eine Erweiterung von Windows Update und erfordert Autopatch zum Erstellen und Bereitstellen von Hotpatches auf Geräten, die in der Richtlinie für autopatch-Qualitätsupdates registriert sind.

Hinweis

Hotpatch ist auch auf Windows Server und Windows 365 verfügbar. Weitere Informationen finden Sie unter Hotpatch für Windows Server Azure Edition.

Wichtigste Vorteile

  • Hotpatch-Updates optimieren den Installationsprozess und verbessern die Complianceeffizienz.
  • An den vorhandenen Updateringkonfigurationen sind keine Änderungen erforderlich. Ihre vorhandenen Ringkonfigurationen werden zusammen mit Hotpatch-Richtlinien berücksichtigt.
  • Der Hotpatch-Qualitätsupdatebericht bietet eine Ansicht auf Richtlinienebene des aktuellen Updatestatus für alle Geräte, die Hotpatch-Updates erhalten.

Releasezyklen

Weitere Informationen zum Releasekalender für Hotpatch-Updates finden Sie unter Versionshinweise für Hotpatch.

Viertel Baselineupdates (Neustart erforderlich) Hotpatch (kein Neustart erforderlich)
1 Januar Februar und März
2 April Mai und Juni
3 Juli August und September
4 Oktober November und Dezember

Voraussetzungen für die Betriebssystemkonfiguration

Um ein Gerät für den Empfang von Hotpatch-Updates vorzubereiten, konfigurieren Sie die folgenden Betriebssystemeinstellungen auf dem Gerät. Sie müssen diese Einstellungen konfigurieren, damit dem Gerät das Hotpatch-Update angeboten wird und alle Hotpatch-Updates angewendet werden.

Virtualisierungsbasierte Sicherheit (VBS)

VBS muss aktiviert sein, damit einem Gerät Hotpatch-Updates angeboten werden können. Informationen zum Festlegen und Erkennen, ob VBS aktiviert ist, finden Sie unter Virtualisierungsbasierte Sicherheit (VBS).

Arm 64-Geräte müssen die kompilierte Hybrid PE-Nutzung (CHPE) deaktivieren (nur Arm 64-CPU)

Diese Anforderung gilt nur für Arm 64-CPU-Geräte, wenn Hotpatch-Updates verwendet werden. Hotpatch-Updates sind nicht kompatibel mit wartungsinternen CHPE-Betriebssystembinärdateien, die %SystemRoot%\SyChpe32 sich im Ordner befinden. Um sicherzustellen, dass alle Hotpatch-Updates angewendet werden, müssen Sie das CHPE-Deaktivierungsflag festlegen und das Gerät neu starten, um die CHPE-Verwendung zu deaktivieren. Sie müssen dieses Flag nur einmal festlegen. Die Registrierungseinstellung wird weiterhin über Updates angewendet. Um CHPE zu deaktivieren, erstellen und/oder legen Sie den folgenden DWORD-Registrierungsschlüssel fest: Pfad: HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management DWORD-Schlüsselwert: HotPatchRestrictions=1

Wichtig

Diese Einstellung ist erforderlich, da sie das Betriebssystem zwingt, die x86-Emulationsbinärdateien anstelle von CHPE-Binärdateien auf Arm 64-Geräten zu verwenden. CHPE-Binärdateien enthalten nativen Arm 64-Code, um die Leistung zu verbessern. Das Ausschließen der CHPE-Binärdateien kann sich auf die Leistung oder Kompatibilität auswirken. Stellen Sie sicher, dass Sie die Anwendungskompatibilität und -leistung testen, bevor Sie Hotpatch-Updates auf Arm 64-CPU-basierten Geräten umfassend einführen.

Wenn Sie Hotpatch-Updates nicht mehr verwenden möchten, deaktivieren Sie das CHPE-Deaktivierungsflag (HotPatchRestrictions=0), und starten Sie dann das Gerät neu, um die CHPE-Nutzung zu aktivieren.

Berechtigte Geräte

Um von Hotpatch-Updates profitieren zu können, müssen Geräte die folgenden Voraussetzungen erfüllen:

  • Betriebssystem: Geräte müssen Windows 11 24H2 oder höher ausgeführt werden.
  • VBS (virtualisierungsbasierte Sicherheit): VBS muss aktiviert sein, um eine sichere Installation von Hotpatch-Updates sicherzustellen.
  • Neuestes Baselinerelease: Geräte müssen die neueste Baselineversion aufweisen, um sich für Hotpatch-Updates zu qualifizieren. Microsoft veröffentlicht Baselineupdates vierteljährlich als kumulative Standardupdates. Weitere Informationen zum neuesten Zeitplan für diese Releases finden Sie unter Versionshinweise für Hotpatch.

Nicht berechtigte Geräte

Geräte, die eine oder mehrere Voraussetzungen nicht erfüllen, erhalten stattdessen automatisch das neueste kumulative Update (LCU). Neuestes kumulatives Update (LCU) enthält monatliche Updates, die die Updates des Vorherigen Monats ersetzen, die sowohl Sicherheitsversionen als auch nicht sicherheitsrelevante Versionen enthalten.

LCUs erfordern, dass Sie das Gerät neu starten, aber die LCU stellt sicher, dass das Gerät vollständig sicher und konform bleibt.

Hinweis

Wenn Geräte nicht für Hotpatch-Updates berechtigt sind, wird diesen Geräten die LCU angeboten. Die LCU behält ihre konfigurierten Einstellungen für den Updatering bei, die Einstellungen werden nicht geändert.

Registrieren von Geräten für den Empfang von Hotpatch-Updates

Hinweis

Wenn Sie Autopatch-Gruppen verwenden und möchten, dass Ihre Geräte Hotpatch-Updates erhalten, müssen Sie eine Hotpatch-Richtlinie erstellen und ihr Geräte zuweisen. Durch das Aktivieren von Hotpatch-Updates wird die Verzögerungseinstellung nicht geändert, die auf Geräte innerhalb einer Autopatch-Gruppe angewendet wird.

So registrieren Sie Geräte für den Empfang von Hotpatch-Updates:

  1. Wechseln Sie zum Intune Admin Center.
  2. Wählen Sie im linken Navigationsmenü Geräte aus.
  3. Wählen Sie im Abschnitt Updates verwaltendie Option Windows-Updates aus.
  4. Wechseln Sie zur Registerkarte Qualitätsupdates .
  5. Wählen Sie Erstellen und dann Windows-Qualitätsupdaterichtlinie (Vorschau) aus.
  6. Geben Sie im Abschnitt Grundlagen einen Namen für Ihre neue Richtlinie ein, und wählen Sie Weiter aus.
  7. Legen Sie im Abschnitt Einstellungendie Option "Wenn verfügbar, ohne Neustart des Geräts anwenden ("Hotpatch") auf Zulassen fest. Wählen Sie dann Weiter aus.
  8. Wählen Sie die entsprechenden Bereichstags aus, oder übernehmen Sie die Einstellung Standard, und wählen Sie Weiter aus.
  9. Weisen Sie die Geräte der Richtlinie zu, und wählen Sie Weiter aus.
  10. Überprüfen Sie die Richtlinie, und wählen Sie Erstellen aus.

Mit diesen Schritten wird sichergestellt, dass Zielgeräte, die zum Empfangen von Hotpatch-Updates berechtigt sind, ordnungsgemäß konfiguriert sind. Nicht berechtigte Geräte werden mit den neuesten kumulativen Updates (LCU) angeboten.

Hinweis

Durch das Aktivieren von Hotpatch-Updates werden die vorhandenen termingesteuerten oder geplanten Installationskonfigurationen auf Ihren verwalteten Geräten nicht geändert. Die Einstellungen für Zurückstellung und aktive Stunde gelten weiterhin.

Zurücksetzen eines Hotpatchupdates

Das automatische Rollback eines Hotpatch-Updates wird nicht unterstützt, sie können jedoch deinstalliert werden. Wenn ein unerwartetes Problem mit Hotpatch-Updates auftritt, können Sie dies untersuchen, indem Sie das Hotpatch-Update deinstallieren und das neueste kumulative Standardupdate (Standard Cumulative Update, LCU) installieren und neu starten. Das Deinstallieren eines Hotpatch-Updates ist schnell, erfordert jedoch einen Geräteneustart.