共用方式為

熱修補程式更新

透過熱修補程式更新,您可以快速採取措施來幫助保護您的組織免受不斷變化的網路攻擊,同時最大限度地減少使用者中斷。 熱修補程式更新是 每月 B 版本安全性更新 ,無需您重新啟動裝置即可安裝並生效。 透過最大限度地減少重新啟動的需要,這些更新有助於確保更快的合規性,使組織能夠更輕鬆地維護安全性,同時保持工作流程不間斷。

熱修補程式是 Windows Update 的延伸模組,需要自動修補程式才能建立熱修補程式並將其部署至在自動修補品質更新原則中註冊的裝置。

主要優點

  • 熱修補程式更新簡化了安裝過程並提高了合規性效率。
  • 不需要變更現有的更新通道組態。 您現有的通道組態會與熱修補原則一起適用。
  • 熱修補程式品質更新報告提供接收熱修補程式更新之所有裝置目前更新狀態的每個原則層級檢視。
  • 熱修補程式套件大小明顯小於標準累積更新。 因此,熱修補程式更新安裝速度更快,消耗的網路頻寬也較少。 其他詳細資訊會在 Hotpatch efficiency unlocked: Smaller update size 部落格中分享。

必要條件

若要受益於熱修補程式更新,裝置必須符合下列必要條件:

  • 符合資格的授權之一:Windows 11 企業版 E3 或 E5、Microsoft 365 F3、Windows 11 教育版 A3 或 A5、Microsoft 365 商務進階版或 Windows 365 企業版
  • Windows 11 版本 24H2 或更高版本
  • 裝置必須使用最新的基準版本,才符合熱修補程式更新的資格。 Microsoft 每季發行基準更新作為標準累積更新。 如需這些版本最新排程的詳細資訊,請參閱 熱修補程式的版本資訊
  • Microsoft Intune 可使用開啟 熱修補程式的 Windows 品質更新原則來管理熱修補程式更新部署。

作業系統設定必要條件

若要準備裝置以接收熱修補程式更新,請在裝置上設定下列作業系統設定。 您必須設定這些設定,才能為裝置提供熱修補程式更新,並套用所有熱修補程式更新。

VBS) (虛擬化型安全性

必須開啟 VBS,才能提供熱修補程式更新的裝置。 如需如何設定和偵測是否已啟用 VBS 的資訊,請參閱 VBS) (虛擬化型安全性

注意

裝置可能暫時不符合資格,因為它們未啟用 VBS 或目前不在最新的基準版本上。 若要確保所有 Windows 裝置都已正確設定為符合熱修補程式更新的資格,請參閱 針對熱修補程式更新進行疑難排解

Arm 64 裝置必須停用編譯的混合式 PE 使用 (CHPE) (Arm 64 CPU 僅限)

注意

Arm 64 裝置上的熱修補程式更新遵循相同的 發行週期

此需求僅適用於使用熱修補程式更新時的 Arm 64 CPU 裝置。 熱修補程式更新與服務位於資料夾中的 %SystemRoot%\SyChpe32 CHPE OS 二進位檔不相容。

若要確保套用所有熱修補程式更新,您必須設定 CHPE 停用旗標,並重新啟動裝置以停用 CHPE 使用。 您只需要設定此旗標一次。 登錄設定會透過更新保持套用。

重要

此設定是必要的,因為它會強制作業系統在 Arm 64 裝置上使用僅限模擬 x86 的二進位檔,而不是 CHPE 二進位檔。 CHPE 二進位檔包含原生 Arm 64 程式碼,以增進效能,排除 CHPE 二進位檔可能會影響效能或相容性。 在基於 Arm 64 CPU 的裝置上廣泛推出熱修補程式更新之前,請務必測試應用程式相容性和效能。

若要停用 CHPE,請建立和/或設定下列 DWORD 登錄機碼:路徑: HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management DWORD 索引鍵值:HotPatchRestrictions=1

您也可以使用 CSP DisableCHPE。 如需相關資訊,請參閱 DisableCHPE。

注意

沒有計劃在啟用 CHPE 的 Arm64 裝置上支援熱修補程式更新。 只有 Arm64 裝置才需要停用 CHPE。 AMD 和 Intel CPU 沒有 CHPE。

如果您選擇不再使用熱修補程式更新,請清除 CHPE 停用旗標 (HotPatchRestrictions=0) 然後重新啟動裝置以開啟 CHPE 使用。

不符合資格的裝置

不符合一或多個必要條件的裝置會自動收到 LCU (最新累積更新) 。 LCU 的最新累積更新 (LCU) 包含每月更新,這些更新會取代包含安全性和非安全性版本的上個月更新。

LCU 需要您重新啟動裝置,但 LCU 可確保裝置保持完全安全且符合規範。

注意

如果裝置不符合熱修補程式更新的資格,則會提供這些裝置 LCU。 LCU 會保留您設定的更新通道設定,不會變更設定。

發行週期

如需熱修補程式更新發行行事曆的詳細資訊,請參閱 熱修補程式的版本資訊

  • 基準:包括最新的安全性修正、累積的新功能和增強功能。 需要重新啟動。

  • 熱修補程式:包括安全性更新。 無需重新啟動。

    四分之一 基準更新 (需要重新啟動) 熱修補 (無需重新啟動)
    1 1 月 二月和三月
    2 4 月 5月和6月
    3 7 月 八月和九月
    4 10 月 11 月和 12 月

注意

將已註冊熱修補程式的裝置升級至最新的 Windows 版本 (例如:在基準月期間從 Windows 11 24H2 升級至 Windows 11 25H2) ,會讓裝置保持熱修補週期,且裝置會持續接收熱修補程式更新。 不過,在熱修補程式月份將裝置升級至最新的 Windows 版本會將裝置切換至標準更新;您必須重新啟動裝置才能套用更新,直到下一個基準版本為止。

Windows 11 企業版或 Windows Server 2025 上的熱修補程式

注意

熱修補程式也適用於 Windows Server 和 Windows 365。 如需詳細資訊,請參閱 Windows Server Azure Edition 的熱修補程式

Windows 11 和 Windows Server 2025 之間的熱修補更新類似。

  • Windows 自動修補管理 Windows 11 更新
  • 適用於 Windows 2025 Datacenter/Standard 版本的Azure 更新管理員和選擇性 Azure Arc 訂用帳戶 (內部部署) 管理 Windows Server 2025 的 Azure 版本Datacenter。 如需詳細資訊,在 Windows Server 和 Windows 365 上,請參閱 Windows Server Azure 版本的熱修補程式。

對於所有支援熱修補程式的作業系統 (作業系統) ,每年計劃的行事曆日期、八個熱修補程式月份和四個基準月都是相同的。 例如,一個作業系統 (可能會有額外的基準月份,例如,Windows Server 2022) ,而另一個作業系統(例如 Server 2025 或 Windows 11 版本 24H2)可能會有熱修補月份。 檢閱 Windows 版本健康情況 的版本資訊,以保持最新狀態。

註冊裝置以接收熱修補程式更新

注意

如果您使用自動修補群組,並希望裝置接收熱修補程式更新,則必須建立熱修補程式原則,並將裝置指派給該原則。 開啟熱修補程式更新不會變更套用至自動修補群組內裝置的延遲設定。

若要註冊裝置以接收熱修補程式更新:

  1. 移至 Intune 系統管理中心
  2. 從左側導覽功能表中選取 [裝置]。
  3. [管理更新] 區段下,選取 [Windows 更新]。
  4. 移至 [品質更新 ] 索引標籤。
  5. 選取 [建立],然後選取 [Windows 品質更新原則]。
  6. [基本] 區段下,輸入新原則的名稱,然後選取 [下一步]。
  7. 在「 設定 」部分下,確保 「可用時,無需重新啟動裝置即可套用 (“熱修補程式”) 選項設定為 允許。 然後選取 [下一步]
  8. 選取適當的範圍標籤,或保留為預設值。 然後選取 [下一步]
  9. 將裝置指派給原則,然後選取 [ 下一步]。
  10. 檢閱原則,然後選取 [建立]。
  11. 您也可以 編輯 現有的 Windows 品質更新原則 ,並將 「可用時,無需重新啟動裝置 ( 熱修補程式」即可套用 ) 設定為 允許

這些步驟可確保正確設定符合接收熱修補程式更新 資格 的目標裝置。 不符合資格的裝置 會提供 LCU) (最新的累積更新。

注意

開啟熱修補程式更新不會變更受管理裝置上現有的期限驅動或排程安裝設定。 延遲和使用時數設定仍適用。

復原熱修補程式更新

不支援自動復原熱修補程式更新,但您可以解除安裝它們。 如果您在熱修補程式更新時遇到非預期的問題,您可以解除安裝熱修補程式更新,然後安裝最新的標準累積更新 (LCU) 然後重新啟動來進行調查。 卸載熱修補程式更新很快,但是,它確實需要重新啟動裝置。

疑難排解熱修補程式更新

步驟 1:在安裝熱修補程式更新之前,確認裝置符合熱修補程式更新的資格,以及熱修補程式基準

熱修補遵循熱修補版本週期。 檢閱必要條件,以確保裝置符合熱修補程式更新 的資格 。 如需不符合必要條件之裝置的相關資訊,請參閱 不符合資格的裝置

如需最新的發行排程,請參閱 熱修補程式版本資訊。 如需 Windows 更新歷程記錄的相關資訊,請參閱 Windows 11 版本 24H2 更新歷程記錄

步驟 2:確認裝置已開啟虛擬化型安全性 (VBS)

  1. 選取 [開始],然後在 [搜尋] 中輸入 System information
  2. 從結果中選取 系統資訊
  3. [系統摘要] 底下的 [專案] 資料行下,尋找 [虛擬化型安全性]。
  4. 值 欄下,確保它顯示 執行中

步驟 3:確認裝置是否正確設定為開啟熱修補程式更新

  1. 在 Intune 中,檢閱您在自動修補中設定的原則,以移至 Windows Update> 品質匯報頁面,查看哪些裝置群組是熱修補原則的目標。
  2. 請確定熱修補程式更新原則設定為 [允許]。
  3. 在裝置上,選取 [開始]>[設定] [>Windows Update] [進階選項>] [>已設定的更新原則>],尋找 [可用時啟用熱修補]。 此設定表示裝置已註冊自動修補所設定的熱修補程式更新。

步驟 4:停用編譯的混合式 PE 使用方式 (CHPE) (Arm64 CPU 僅限)

如需詳細資訊,請參閱 Arm 64 裝置必須停用編譯的混合式 PE 使用方式 (CHPE) (Arm 64 CPU 僅限)

步驟 5:使用事件檢視器確認裝置是否已開啟熱修補程式更新

  1. 右鍵單擊“ 開始” 菜單,然後選擇“ 事件查看器”。

  2. 在篩選中搜尋 AllowRebootlessUpdates 。 如果 AllowRebootlessUpdates 設定為 1,裝置會在自動修補更新原則中註冊,並開啟熱修補更新:

    "data": { "payload": "{\"Orchestrator\":{\"UpdatePolicy\":{\"Update/AllowRebootlessUpdates\":true}}}", "isEnrolled": 1, "isCached": 1, "vbsState": 2,

第 6 步:檢查 Windows 日誌是否有任何熱修補程式錯誤

熱修補程式更新提供收件匣監視器服務,檢查裝置上安裝的更新的健康情況。 如果監視服務偵測到錯誤,服務會在 Windows 應用程式記錄中記錄事件。 如果發生嚴重錯誤,裝置會安裝標準 (LCU) 更新,以確保裝置完全安全。

  1. 右鍵單擊“ 開始” 菜單,然後選擇“ 事件查看器”。
  2. 在篩選器中搜尋 熱修補程式 以檢視記錄。
  • Last updated on