Compartir a través de

Actualizaciones de hotpatch (versión preliminar pública)

  • Artículo

Importante

La información de la sección se aplica a las licencias Business Premium, A3+, E3+ y F3. Para obtener más información, consulte Características y funcionalidades y Licencias y derechos.

Importante

Esta característica está en versión preliminar pública. Se está desarrollando activamente y es posible que no esté completa. Están disponibles en "Versión preliminar". Puede probar y usar estas características en entornos y escenarios de producción y proporcionar comentarios.

Las actualizaciones de hotpatch son actualizaciones de seguridad mensuales de la versión B que se pueden instalar sin necesidad de reiniciar el dispositivo. Las actualizaciones de hotpatch están diseñadas para reducir el tiempo de inactividad y las interrupciones. Al minimizar la necesidad de reiniciar, estas actualizaciones ayudan a garantizar un cumplimiento más rápido, lo que facilita a las organizaciones mantener la seguridad y mantener los flujos de trabajo ininterrumpidos.

Ventajas clave

  • Las actualizaciones de hotpatch simplifican el proceso de instalación y mejoran la eficiencia del cumplimiento.
  • No se requiere ningún cambio en las configuraciones de anillo de actualización existentes. Las configuraciones de anillo existentes se respetan junto con las directivas de hotpatch.
  • El informe de actualización de calidad de Hotpatch proporciona una vista por nivel de directiva de los estados de actualización actuales para todos los dispositivos que reciben actualizaciones de Hotpatch.

Requisitos previos de configuración del sistema operativo

Para preparar un dispositivo para recibir actualizaciones de Hotpatch, configure las siguientes opciones de sistema operativo en el dispositivo. Debe configurar estas opciones para que el dispositivo se ofrezca la actualización de Hotpatch y aplicar todas las actualizaciones de Hotpatch.

Seguridad basada en virtualización (VBS)

VBS debe estar activado para que se ofrezcan actualizaciones de Hotpatch a un dispositivo. Para obtener información sobre cómo establecer y detectar si VBS está habilitado, consulte Seguridad basada en virtualización (VBS).

Los dispositivos Arm 64 deben deshabilitar el uso de PE híbrido compilado (CHPE) (solo CPU de Arm 64)

Este requisito solo se aplica a los dispositivos de CPU arm 64 cuando se usan actualizaciones de Hotpatch. Las actualizaciones de hotpatch no son compatibles con el mantenimiento de archivos binarios del sistema operativo CHPE ubicados en la %SystemRoot%\SyChpe32 carpeta. Para asegurarse de que se aplican todas las actualizaciones de Hotpatch, debe establecer la marca de deshabilitación de CHPE y reiniciar el dispositivo para deshabilitar el uso de CHPE. Solo tiene que establecer esta marca una vez. La configuración del Registro permanece aplicada a través de las actualizaciones. Para deshabilitar CHPE, establezca la siguiente clave del Registro: Ruta de acceso: **HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management** Valor de clave: **HotPatchRestrictions=1**

[! IMPORTANTE:] Esta configuración es necesaria porque obliga al sistema operativo a usar la emulación de archivos binarios de solo x86 insetad de archivos binarios CHPE en dispositivos Arm 64. Los archivos binarios chpe incluyen código nativo de Arm 64 para mejorar el rendimiento, excluyendo los archivos binarios chpe puede afectar al rendimiento o la compatibilidad. Asegúrese de probar la compatibilidad y el rendimiento de las aplicaciones antes de implementar las actualizaciones de Hotpatch ampliamente en dispositivos basados en CPU arm 64.

Si decide no usar las actualizaciones de Hotpatch, desactive la marca disasable CHPE (HotPatchRestrictions=0) y reinicie el dispositivo para activar el uso de CHPE.

Dispositivos aptos

Para beneficiarse de las actualizaciones de Hotpatch, los dispositivos deben cumplir los siguientes requisitos previos:

  • Sistema operativo: los dispositivos deben ejecutarse Windows 11 24H2 o posterior.
  • VBS (seguridad basada en virtualización): VBS debe estar habilitado para garantizar la instalación segura de las actualizaciones de Hotpatch.
  • Versión de línea base más reciente: los dispositivos deben estar en la versión más reciente de la versión de línea base para poder recibir actualizaciones de Hotpatch. Microsoft publica las actualizaciones de línea base trimestralmente como actualizaciones acumulativas estándar. Para obtener más información sobre la programación más reciente de estas versiones, consulte Notas de la versión de Hotpatch.

Dispositivos no aptos

Los dispositivos que no cumplen uno o varios requisitos previos reciben automáticamente la última actualización acumulativa (LCU) en su lugar. La última actualización acumulativa (LCU) contiene actualizaciones mensuales que reemplazan a las actualizaciones del mes anterior que contienen versiones de seguridad y no relacionadas con la seguridad.

Las LCU requieren que reinicie el dispositivo, pero el LCU garantiza que el dispositivo sigue siendo totalmente seguro y conforme.

Nota

Si los dispositivos no son aptos para las actualizaciones de Hotpatch, se ofrece a estos dispositivos el LCU. El LCU mantiene la configuración del anillo de actualización configurada, no cambia la configuración.

Ciclos de versión

Para obtener más información sobre el calendario de lanzamiento para las actualizaciones de Hotpatch, consulte Notas de la versión de Hotpatch.

  • Meses de lanzamiento de línea base: enero, abril, julio y octubre
  • Meses de lanzamiento de Hotpatch: febrero, marzo, mayo, junio, agosto, septiembre, noviembre y diciembre

Inscripción de dispositivos para recibir actualizaciones de Hotpatch

Nota

Si usa grupos de revisiones automáticas y quiere que los dispositivos reciban actualizaciones de Hotpatch, debe crear una directiva hotpatch y asignarle dispositivos. Activar las actualizaciones de hotpatch no cambia la configuración de aplazamiento aplicada a los dispositivos dentro de un grupo de revisiones automáticas.

Para inscribir dispositivos para recibir actualizaciones de Hotpatch:

  1. Vaya al centro de administración de Intune.
  2. Seleccione Dispositivos en el menú de navegación izquierdo.
  3. En la sección Administrar actualizaciones , seleccione Actualizaciones de Windows.
  4. Vaya a la pestaña Actualizaciones de calidad .
  5. Seleccione Crear y seleccione Directiva de actualización de calidad de Windows (versión preliminar).
  6. En la sección Aspectos básicos , escriba un nombre para la nueva directiva y seleccione Siguiente.
  7. En la sección Configuración , establezca "Cuando esté disponible, aplique sin reiniciar el dispositivo ("Hotpatch") en Permitir. A continuación, seleccione Siguiente.
  8. Seleccione las etiquetas de ámbito adecuadas o deje como Predeterminado y seleccione Siguiente.
  9. Asigne los dispositivos a la directiva y seleccione Siguiente.
  10. Revise la directiva y seleccione Crear.

Estos pasos garantizan que los dispositivos de destino, que son aptos para recibir actualizaciones de Hotpatch, estén configurados correctamente. Los dispositivos no aptos se ofrecen las últimas actualizaciones acumulativas (LCU).

Nota

Activar las actualizaciones de Hotpatch no cambia las configuraciones de instalación programadas o controladas por fecha límite existentes en los dispositivos administrados. Se seguirán aplicando los valores de aplazamiento y hora activa.