HOWTO: 为 64位 Arm 架构启用 Windows 热补丁
HOWTO: 为 64位 Arm 架构启用 Windows 热补丁
适用于 Windows 11 24H2 Arm64 的热补丁现已正式发布,借助热补丁 IT 现在可以快速实施补丁的更新,帮助终端设备免受安全问题带来的影响,同时还能最大限度地降低用户中断时间。是的,在过去我们每次安装完 Windows 更新都要面临设备重启的问题,现在有了热补丁无需重启设备即可安装更新并生效。
要为设备启用热补丁需要一些前置条件:
1. Windows 11 24H2 企业版,26100.2033 或更高版本
2. 设备必须采用最新的基线版本才能获得热补丁更新。微软通常按季度发布基线更新作为标准累计更新。
热补丁的发行周期可参考下表:
基线:包含最新的安全修补程序、累计新功能和增强功能,需要重启。
热补丁:包含安全更新,无需重启。
季度
基线更新
热补丁
1
1月
2月和3月
2
4月
5月和6月
3
7月
8月和9月
4
10月
11月和12月
3. 符合条件的许可证之一:Windows 11 企业版 E3或 E5,Microsoft 365 F3,Windows 11 教育版 A3 或 A5,Microsoft 365 商业高级版或 Windows 365 企业版。
4. 通过 Microsoft Intune 管理 Windows Update
5. 设备启用基于虚拟化的安全性(VBS)
6. 对于 Arm64 设备需要禁用其 CHPE。(CHPE 是一种新型的 PE 文件,我们只需要理解它会同时包含像 x86 和 Arm64 这样的代码,且 x86 仿真进程和 Arm64 本机进程都可以使用,从而提升仿真器的性能。)
以上前置条件中,之所以要为 Arm64 设备禁用 CHPE 是因为目前热补丁与 CHPE OS 二进制文件“%SystemRoot%\SyChpe32”还不兼容。要禁用 CHPE 也非常方便,只需要在 Intune 中下发一条策略即可,为此我们转到 Intune 管理门户,为设备创建一个基于“设置目录”的配置文件,搜索 CHPE 即可找到"Disable CHPE",将其配置为“CHPE Binaries Disabled”。
该配置对应的 CSP 如下:
./Device/Vendor/MSFT/Policy/Config/Hotpatch/DisableCHPE,Int,0(启用 - 默认) or 1(禁用)
注册表路径如下:
HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management\HotPatchRestrictions = 1
当为 Arm64 设备下发了 DisableCHPE 配置文件后,便可以修改现有或创建新的 Windows Update 的质量更新策略,如下图所示,我们仅需要确保“如果可用,请在不重启设备的情况下应用(“热补丁”)”设置为“启用状态”,并将其指派给需要热补丁的 Arm64 设备组即可。
推荐参考:
HOWTO: 使用 Intune 管理 Windows 存储感知
HOWTO: 使用 Intune 管理 Windows 存储感知
存储感知(Storage Sense)是一项重要的 Windows 功能,它能够帮助我们自动释放硬盘空间,在固态硬盘以及云存储普及初期,存储感知为用户带来了极大的便利性,在硬盘空间不足时存储感知自动运行,清理掉那些在一段时间不用的文件,例如回收站、下载文件夹,以及 OneDrive 云存储中的文件。
我们要检查和配置存储感知,只需要打开“设置 - 系统 - 存储”即可看到“存储感知”设置。
在上图中我们可以留意底部的设置,“Fan - 个人” 是 gOxiA 的 OneDrive 云存储,默认释放阈值是 30 天,这意味着 30 天里未使用过的云文件将会从硬盘占用空间中被释放掉,以回收更多的存储空间。前面讲过在过去我们的 SSD 固态硬盘可能并不大,128GB 或 256GB,即使再大达到 512GB,也可能无法应对日益暴增的云存储容量,所以我们需要利用存储感知来帮助我们释放那些已经不再活跃的云文件。但是,现金越来越多的笔记本电脑或台式机使用大容量的 SSD 固态硬盘,并且我们有时可能需要确保本地保留完整的云数据,便于整理或查询,那么存储感知可能会对我们造成些许小困扰。拿前一段时间的经历举例,家中的工作站有几个TB的存储空间,OneDrive 存储已经使用了 1.2TB,其中大多数是照片和视频,此时希望能快速查阅和整理它们,gOxiA 便使用 OneDrive 设置中的 “下载所有文件” 将保存到 OneDrive 全部同步到本地,确保任何时候都可以从本地使用这些文件,同样也提升了照片查阅和管理的效率。此时 OneDrive “下载所有文件” 并不会影响到存储感知的配置,所以在30天后存储感知清理了那些未使用过的文件,尤其是当 gOxiA 长期出差在外回家打开电脑登录桌面后,结果可想而知!
对于企业环境,员工将云文件始终保留在本地的需求也在日益增长,此时 IT 就需要对终端设备进行统一的配置以满足需求,对于现代管理方式,我们可以通过 Intune 提供的“设置目录”对存储感知进行配置,首先创建一个配置文件,选择“Windows 10 及更高版本” 平台,然后选择“设置目录”,并创建配置文件,随后起一个便于识别的名字,然后添加设置,我们可以在搜索框中直接键入“Storage”进行搜索,然后在结果中找到“存储”类别,便可看到那些可选的设置,如下图所示。
根据需要我们可以配置:
- 配置存储感知(回收站清理阈值),可配置为0-365天,0 将不删除回收站中的内容
- CSP - ./Device/Vendor/MSFT/Policy/Config/Storage/ConfigStorageSenseRecycleBinCleanupThreshold,Int,0 - 365(默认值30)
- 配置存储感知(全局 Cadence),1 - 每天;7 - 一周;30 - 一个月;0 - 可用磁盘空间不足时
- CPS - ./Device/Vendor/MSFT/Policy/Config/Storage/ConfigStorageSenseGlobalCadence,Int,0(在可用磁盘空间不足时 - 默认)or 1(每天)or 7(每周)or 30(每月)
- 配置存储感知(云内容冻结阈值):可配置为0-365天,0 将不释放 OneDrive 中的内容
- CPS - ./Device/Vendor/MSFT/Policy/Config/Storage/ConfigStorageSenseCloudContentDehydrationThreshold,Int,0(默认)- 365
- 配置存储感知(下载清理阈值):0-365天,0 将不删除下载文件夹中的内容
- CPS - ./Device/Vendor/MSFT/Policy/Config/Storage/ConfigStorageSenseDownloadsCleanupThreshold,Int,0(默认)- 365
- 允许存储感知(全局):阻止;允许
- CSP - ./Device/Vendor/MSFT/Policy/Config/Storage/AllowStorageSenseGlobal,Int,0(阻止 - 默认值)or 1(允许)
- 允许存储感知(临时文件清理):阻止;允许
- CSP - ./Device/Vendor/MSFT/Policy/Config/Storage/AllowStorageSenseTemporaryFilesCleanup,Int,0(阻止)or 1(允许 - 默认值)
有关 CSP 的详细信息可参考:https://learn.microsoft.com/zh-cn/windows/client-management/mdm/policy-csp-storage#configstoragesenserecyclebincleanupthreshold
对于需要组策略(GPO)管理的 IT 环境,可以在“计算机配置 - 管理模板 - 系统 - 存储感知”中找到相关配置,可参考下图。
有关使用存储感知管理驱动器空间,可参考:
Windows 11 25H2 将会支持移除内置应用
Windows 11 25H2 将会支持移除内置应用
在企业环境下部署 Windows 时,IT 人员可能会希望移除系统内置的应用,比如 Xbox,纸牌游戏等。在过去通常会通过脚本方式执行该项操作,gOxiA 也曾写过几篇相关的日志“HOWTO: 使用 Windows 10 预配包为用户卸载内置应用”和“HOWTO: 卸载 Windows 10 内置应用”。但微软将会在未来的 Windows 版本中原生支持移除内置应用,如果你正在使用开发通道的 Windows 11 预览版,已经可以在组策略中看到该选项,它位于“计算机配置 - 管理模板 - Windows 组件 - 应用程序包部署”下,名为“Remove Default Microsoft Store packages from the system.”,如下图所示:
当我们启用这条策略后,将会在选项中看到可以被移除的内置应用列表,只需要勾选需要移除的内置应用即可,这一举措为企业 IT 提供了极大的便利性,简化了部署流程,提升了稳定性和安全性。
接下来我们进一步探索这个策略,当它启用后将会在注册表生成一些信息:
1. 创建 HKLM\SOFTWARE\Policies\Microsoft\Windows\Appx\RemoveDefaultMicrosoftStorePackages 注册表项
2. 其下会创建一个键值,Enabled REG_DWORD 0x00000001 (1)
3. 然后会为每个可以移除的内置应用创建对应的以 AUMID 命名的项
4. 如果我们勾选了某个要移除的应用,那么在注册表对应的项下会将 RemovePackage 键值改为 0x00000001 (1)
目前从列表及注册表中可看到的能够被移除的内置应用包含以下:
- Clipchamp.Clipchamp_yxz26nhyzhsrt
- Microsoft.BingNews_8wekyb3d8bbwe
- Microsoft.BingWeather_8wekyb3d8bbwe
- Microsoft.GamingApp_8wekyb3d8bbwe
- Microsoft.MediaPlayer_8wekyb3d8bbwe
- Microsoft.MicrosoftOfficeHub_8wekyb3d8bbwe
- Microsoft.MicrosoftSolitaireCollection_8wekyb3d8bbwe
- Microsoft.MicrosoftStickyNotes_8wekyb3d8bbwe
- Microsoft.OutlookForWindows_8wekyb3d8bbwe
- Microsoft.Paint_8wekyb3d8bbwe
- Microsoft.ScreenSketch_8wekyb3d8bbwe
- Microsoft.Todos_8wekyb3d8bbwe
- Microsoft.Windows.Photos_8wekyb3d8bbwe
- Microsoft.WindowsCalculator_8wekyb3d8bbwe
- Microsoft.WindowsCamera_8wekyb3d8bbwe
- Microsoft.WindowsFeedbackHub_8wekyb3d8bbwe
- Microsoft.WindowsNotepad_8wekyb3d8bbwe
- Microsoft.WindowsSoundRecorder_8wekyb3d8bbwe
- Microsoft.WindowsTerminal_8wekyb3d8bbwe
- Microsoft.Xbox.TCUI_8wekyb3d8bbwe
- Microsoft.XboxGamingOverlay_8wekyb3d8bbwe
- Microsoft.XboxIdentityProvider_8wekyb3d8bbwe
- Microsoft.XboxSpeechToTextOverlay_8wekyb3d8bbwe
- MicrosoftCorporationII.QuickAssist_8wekyb3d8bbwe
- MSTeams_8wekyb3d8bbwe
对于现代管理 - Intune,目前 CSP 虽然还没有提供对应的配置策略,但理论上应该会启用以下路径配置,期待后续官方更新。https://learn.microsoft.com/en-us/windows/client-management/mdm/policy-csp-applicationmanagement#disablestoreoriginatedapps
./Device/Vendor/MSFT/Policy/Config/ApplicationManagement/RemoveDefaultMicrosoftStorePackages
Windows 10 生命周期即将结束,企业将迎来大规模的 Windows 11 升迁,Windows 11 25H2 的全新更新特性也许是 IT 的一次契机,持续关注后续分享!!!
