Забудьте о перезагрузках: Windows теперь патчит себя «на ходу»

Microsoft объявила о запуске технологии Hotpatch для устройств с Windows 11 Enterprise, версия 24H2 и архитектурой x64 (AMD и Intel). С 2 апреля 2025 года эта функция стала доступна всем корпоративным пользователям с соответствующей подпиской и настройками Intune. Нововведение позволяет устанавливать критически важные обновления безопасности без необходимости перезагружать устройство, что сокращает количество прерываний в работе и повышает общий уровень защищённости.

Hotpatching — это ключевая часть стратегии Microsoft по улучшению безопасности и производительности Windows. Технология уже активно используется в Azure и теперь доступна на клиентских устройствах.

Преимущества технологии очевидны. Во-первых, обновления вступают в силу сразу после установки, что резко сокращает окно уязвимости. Во-вторых, пользователи могут продолжать работать без перерывов: большая часть обновлений безопасности в течение квартала не требует перезагрузки. Лишь один раз в три месяца, в «базовый месяц», устройство будет перезапущено, чтобы применить накопительные изменения, включая новые функции и улучшения. Всё остальное время — только "тихие" hotpatch-обновления.

График выглядит так:

• Январь, апрель, июль, октябрь — месяцы с обязательной перезагрузкой (baseline update).

• Остальные месяцы — установка Hotpatch без необходимости перезагрузки.

Таким образом, количество перезапусков системы по причине обновлений сокращается с 12 до 4 в год. Устройства при этом продолжают получать все необходимые патчи безопасности наравне с теми, кто остаётся на стандартной схеме обновлений.

Чтобы начать использовать Hotpatch, организациям потребуется подписка Windows 11 Enterprise E3/E5/F3, Windows 11 Education A3/A5 или Windows 365 Enterprise, а также система управления через Microsoft Intune. Устройства должны быть обновлены до версии 24H2 (сборка 26100.2033 или выше), иметь включённую функцию VBS (Virtualization-based Security) и находиться под управлением соответствующей политики качества обновлений, настроенной в Intune.

Для устройств с архитектурой Arm64 технология пока остаётся в статусе публичного предпросмотра, и для её включения требуется отключить поддержку CHPE вручную через реестр. В ближайших обновлениях появится отдельный CSP для этого.

Новая политика обновлений уже доступна в интерфейсе Intune: администратор может включить Hotpatch путём создания новой политики качества и переключения параметра в режим «Разрешить». Если устройство соответствует всем требованиям, оно автоматически перейдёт на схему бесшовного обновления.

По словам Майкла Мейера, старшего системного администратора компании Krones AG, технология изменила их подход к безопасности: «Сначала мы не осознавали, насколько важно, чтобы обновления вступали в силу сразу. Теперь мы понимаем, что это кардинально сокращает риски и избавляет от лишней головной боли».

Hotpatch стал доступен для всех пользователей Windows 11 Enterprise на процессорах Intel и AMD, начиная с апреля 2025 года. На устройствах с Arm64 технология появится позже.