基于 x64 架構（AMD 或 Intel）CPU 的 Windows 11 24H2 企業(yè)版，現(xiàn)在正式支持 Hotpatch 功能了！通過 Hotpatch 更新，企業(yè)能夠在應對網絡威脅時「快人一步」，既能保護組織安全，又能把對用戶的干擾降到最低。

接下來，本文將詳細介紹 Hotpatch 的優(yōu)勢、工作原理，以及如何在「Windows 生命周期」內應用該技術，提升設備的安全性。

一、Hotpatch 更新的主要優(yōu)勢

Hotpatch 技術為「Windows 客戶端」設備帶來了全新的更新體驗，主要具備以下幾點優(yōu)勢：

• 即時防護：Hotpatch 更新安裝后會立即生效，快速修復漏洞，提供強大的安全保護。
• 雙重保險：在 Hotpatch 更新期間，每月「補丁星期二」發(fā)布的「普通更新」依然可用。
• 無感更新：工作不用停，更新照樣裝。一個季度內，都不用為 Hotpatch 更新重啟設備。

安全更新已安裝，但無需重啟

系統(tǒng)功能更新、固件更新或應用更新，可能仍然會讓設備在本季度內重啟。

二、Hotpatch 工作原理

要使用 Hotpatch 更新，IT 管理員需要在 Microsoft Intune 控制臺中，通過 Windows Autopatch 創(chuàng)建啟用 Hotpatch 的質量更新策略。符合條件的 Windows 11 24H2 企業(yè)版設備就會自動加入季度更新計劃。

雖然 Hotpatch 更新與月度普通更新的流程相同，但其 KB 號與「需要重啟更新」的 KB 號會有所不同。

2.1 Hotpatch 更新周期

基線與 Hotpatch 更新周期

Hotpatch 的更新節(jié)奏（全年）分為 2 種模式：

• 季度累計基線更新月：每年 1 月、4 月、7 月和 10 月，系統(tǒng)會安裝包含最新「安全修復 + 新功能 + 改進」的累計基線更新（需要重啟）。
• 隨后的兩個月：僅安裝純安全更新的 Hotpatch 更新，系統(tǒng)無需重啟，但「功能更新」要等到下個季度大更新才會同步。

這種更新模式，可以將 Windows 11 企業(yè)版每年的重啟次數(shù)從 12 次降低到 4 次，全年預計發(fā)布 8 次 Hotpatch 更新：

三、如何啟用 Hotpatch 功能

3.1 前提條件

3.2 Arm64 設備的特別說明

對于 Arm64 設備，目前該功能仍處于公測階段，需要在注冊表中關閉 CHPE 支持：

1、按Windows + R打開「運行」對話框，執(zhí)行regedit打開「注冊表編輯器」。

2、導航到以下路徑：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management

3、新建一個名為HotPatchRestrictions的 DWORD（32位）值，并將其設置為1。

3.3 開啟 Hotpatch

當滿足所有 Hotpatch 更新要求后，需要 IT 管理員在 Microsoft Intune 管理中心進行如下操作：

1、進入「設備」>「Windows 更新」。

2、創(chuàng)建 Windows 質量更新策略，然后選擇「允許」以啟用策略。

在 Intune 管理中心創(chuàng)建 Windows 質量更新策略，來啟用 Hotpatch 更新。

管理員可以通過 Windows Autopatch 自動啟用或停用設備的 Hotpatch 更新部署。

3.4 注意事項

設置好 Windows 質量更新策略后，系統(tǒng)會自動檢查哪些設備符合 Hotpatch 更新條件，但需要注意以下幾點：

• 兼容設備：會自動加入 Hotpatch 更新隊列。
• 舊版本設備：運行 Windows 10 或 Windows 11 23H2（及更早版本）的設備，將繼續(xù)接收常規(guī)月度更新。

通過以上步驟和注意事項，你就可以輕松啟用并使用 Windows 11 24H2 企業(yè)版的 Hotpatch 功能，提升設備的安全性和更新體驗。

最新評論