Aggiornamenti hotpatch (anteprima pubblica)

Gli aggiornamenti hotpatch sono aggiornamenti della sicurezza delle versioni B mensili che possono essere installati senza che sia necessario riavviare il dispositivo. Gli aggiornamenti hotpatch sono progettati per ridurre i tempi di inattività e le interruzioni. Riducendo al minimo la necessità di riavviare, questi aggiornamenti garantiscono una conformità più rapida, rendendo più semplice per le organizzazioni mantenere la sicurezza mantenendo i flussi di lavoro ininterrotti.

Principali vantaggi

• Gli aggiornamenti hotpatch semplificano il processo di installazione e migliorano l'efficienza di conformità.
• Non sono necessarie modifiche alle configurazioni dell'anello di aggiornamento esistenti. Le configurazioni degli anelli esistenti vengono rispettate insieme ai criteri hotpatch.
• Il report aggiornamento qualità Hotpatch fornisce una visualizzazione a livello di criterio degli stati di aggiornamento correnti per tutti i dispositivi che ricevono gli aggiornamenti hotpatch.

Prerequisiti di configurazione del sistema operativo

Per preparare un dispositivo a ricevere gli aggiornamenti hotpatch, configurare le impostazioni del sistema operativo seguenti nel dispositivo. È necessario configurare queste impostazioni per offrire al dispositivo l'aggiornamento hotpatch e per applicare tutti gli aggiornamenti hotpatch.

Sicurezza basata su virtualizzazione (VBS)

Vbs deve essere attivato per offrire aggiornamenti hotpatch a un dispositivo. Per informazioni su come impostare e rilevare se VBS è abilitato, vedere Virtualization-based Security (VBS).For information on how to set and detect if VBS is enabled, see Virtualization-based Security (VBS).

I dispositivi Arm 64 devono disabilitare l'utilizzo ibrido compilato di PE (CHPE) (solo CPU Arm 64)

Questo requisito si applica solo ai dispositivi CPU Arm 64 quando si usano gli aggiornamenti hotpatch. Gli aggiornamenti hotpatch non sono compatibili con i file binari del sistema operativo CHPE di manutenzione che si trovano nella %SystemRoot%\SyChpe32 cartella. Per assicurarsi che vengano applicati tutti gli aggiornamenti hotpatch, è necessario impostare il flag di disabilitazione CHPE e riavviare il dispositivo per disabilitare l'utilizzo di CHPE. È sufficiente impostare questo flag una sola volta. L'impostazione del Registro di sistema rimane applicata tramite gli aggiornamenti. Per disabilitare CHPE, impostare la chiave del Registro di sistema seguente: Percorso: **HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management** Valore chiave: **HotPatchRestrictions=1**

[! IMPORTANTE:] Questa impostazione è necessaria perché impone al sistema operativo di usare i file binari di emulazione x86 solo insetad di file binari CHPE nei dispositivi Arm 64. I file binari CHPE includono codice Arm 64 nativo per migliorare le prestazioni, escludendo i file binari CHPE che potrebbero influire sulle prestazioni o sulla compatibilità. Assicurarsi di testare la compatibilità e le prestazioni delle applicazioni prima di distribuire ampiamente gli aggiornamenti hotpatch nei dispositivi basati su CPU Arm 64.

Se si sceglie di non usare più gli aggiornamenti hotpatch, deselezionare il flag CHPE disasble (HotPatchRestrictions=0), quindi riavviare il dispositivo per attivare l'utilizzo di CHPE.

Dispositivi idonei

Per trarre vantaggio dagli aggiornamenti di Hotpatch, i dispositivi devono soddisfare i prerequisiti seguenti:

• Sistema operativo: i dispositivi devono essere in esecuzione Windows 11 24H2 o versioni successive.
• VBS (Sicurezza basata su virtualizzazione): è necessario abilitare VBS per garantire l'installazione sicura degli aggiornamenti hotpatch.
• Versione di base più recente: i dispositivi devono essere nella versione di rilascio di base più recente per qualificarsi per gli aggiornamenti hotpatch. Microsoft rilascia gli aggiornamenti di base trimestralmente come aggiornamenti cumulativi standard. Per altre informazioni sulla pianificazione più recente per queste versioni, vedere Note sulla versione per Hotpatch.

Dispositivi non idonei

I dispositivi che non soddisfano uno o più prerequisiti ricevono invece automaticamente l'aggiornamento cumulativo più recente. L'aggiornamento cumulativo più recente (LCU) contiene aggiornamenti mensili che sostituiscono gli aggiornamenti del mese precedente contenenti versioni di sicurezza e non di sicurezza.

Le unità LCU richiedono il riavvio del dispositivo, ma la LCU garantisce che il dispositivo rimanga completamente sicuro e conforme.

Cicli di rilascio

Per altre informazioni sul calendario delle versioni per gli aggiornamenti hotpatch, vedere Note sulla versione per Hotpatch.

• Mesi di rilascio previsto: gennaio, aprile, luglio, ottobre
• Mesi di rilascio hotpatch: febbraio, marzo, maggio, giugno, agosto, settembre, novembre, dicembre

Registrare i dispositivi per ricevere gli aggiornamenti hotpatch

Per registrare i dispositivi per ricevere gli aggiornamenti hotpatch:

1. Passare all'interfaccia di amministrazione Intune.
2. Selezionare Dispositivi dal menu di spostamento a sinistra.
3. Nella sezione Gestisci aggiornamenti selezionare Aggiornamenti di Windows.
4. Passare alla scheda Aggiornamenti qualitativi .
5. Selezionare Crea e selezionare Criteri di aggiornamento qualità Windows (anteprima).
6. Nella sezione Informazioni di base immettere un nome per il nuovo criterio e selezionare Avanti.
7. Nella sezione Impostazioni impostare "Quando disponibile, applica senza riavviare il dispositivo ("Hotpatch") su Consenti. Seleziona poi Avanti.
8. Selezionare i tag di ambito appropriati o lasciare predefinito e selezionare Avanti.
9. Assegnare i dispositivi ai criteri e selezionare Avanti.
10. Esaminare i criteri e selezionare Crea.

Questi passaggi garantiscono che i dispositivi di destinazione, idonei a ricevere gli aggiornamenti hotpatch, siano configurati correttamente. Ai dispositivi non idonei vengono offerti gli aggiornamenti cumulativi più recenti.Ineligible devices are offered the latest cumulative updates (LCU).