昨天,微软宣布Windows 11 24H2 企业版现已支持热更新体验,通过 Windows 热更新体验,用户无需重启设备就能完成微软每月推送的 Windows 11 安全更新。
Windows 热更新体验支持 x64(AMD/Intel)设备,Arm®64 设备目前仍处于公开预览阶段,需通过注册表关闭 CHPE 支持。
以下是 Windows 热更新体验的具体介绍(包括:Windows 热更新的优势、周期、支持范围和设置方式):
Windows 热更新的三大优势
即时防护(Immediate Protection)
用户在接收到 Windows 热更新后无需重启设备就能立刻完成整个更新内容。
一致的安全性(Consistent Security)
Windows 热更新的安全修复内容与每月的“周二安全更新”完全一致。
最小化中断(Minimized Disruptions)
在Windows 热更新安装过程中,用户无需中断手头工作。除少数特殊情况(如固件更新或功能升级),季度内均可免于重启。
Windows 热更新的周期
Windows 热更新由 Microsoft Intune 控制台中的 Windows Autopatch 策略管理。Windows 热更新并非让设备完全避免了“重启”流程,用户仍然需要在每季度的首月通过重启的方式安装一次基准/基线更新,而该季度的其他月份则无需再重启就能完成更新。
Windows 热更新可以简单理解为“每季度首月通过重启安装基准/基线更新 +该季度的其他月份则通过 Windows 热更新来避开设备重启”。
以下是各个季度的基准更新月和热更新月份:
|
季度 |
基准/基线更新月份(需重启设备) |
热更新月份(无需重启设备) |
|
第一季度 |
1 月 |
2 月、3 月 |
|
第二季度 |
4 月 |
5 月、6 月 |
|
第三季度 |
7 月 |
8 月、9 月 |
|
第四季度 |
10 月 |
11 月、12 月 |
基线更新月的更新内容:安装包括最新安全补丁、新功能和增强内容的完整更新,并需重启设备。
热更新月的更新:仅安装安全修复补丁,无需重启。所有功能性更新将于下次基线月统一交付。
这种策略将原先 每年 12 次系统重启 的频率压缩至 仅 4 次,显著降低运维成本和用户中断概率。
Windows 热更新的支支持
想要部署 Windows 热更新体验,设备和订阅需满足以下条件:
所需订阅(满足其一即可)
- Windows 11 Enterprise E3、E5 或 F3
- Windows 11 Education A3 或 A5
- Windows 365 Enterprise
设备要求
- 正在运行 Windows 11 Enterprise 24H2(Build 26100.2033 或以上)
- 配备 x64 架构处理器(支持 AMD64 和 Intel)
- 开启 虚拟化基础的安全(Virtualization-based Security, VBS)
- 使用 Microsoft Intune 管理更新策略
- 注意:Arm®64 设备目前仍处于公开预览阶段,需通过注册表关闭 CHPE 支持。
Arm64 专用设置(可选)
创建以下注册表
- 路径:HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management
- 键名:HotPatchRestrictions
- 键值类型:DWORD
- 数值:1
微软将在 2025 年 4 月安全更新发布后提供新的 DisableCHPE CSP 配置项,以便更轻松地设置上述选项,设置后请重启以生效。
启用 Windows 热更新策略:Intune 管理中心配置指南
管理员可通过以下步骤启用 Windows 热更新策略,实现自动化部署:
- 登录 Microsoft Intune 管理中心
- 导航至:设备(Devices) > Windows 更新(Windows updates) > 创建 Windows 质量更新策略(Create Windows quality update policy)
- 在策略设置中,将 Hotpatch 切换为 “允许(Allow)”
- 系统会自动识别目标设备是否满足 Windows 热更新条件。
对于运行 Windows 10 或 Windows 11 23H2 及以下版本的设备,将继续接收标准的月度安全更新。
但愿微软能早日将这个流程推送给个人设备。
via Windows IT Blog
