标题：HOWTO: 为 64位 Arm 架构启用 Windows 热补丁
出处：gOxiA=苏繁=SuFan Blog
时间：Wed, 16 Jul 2025 13:19:24 +0000
作者：gOxiA
地址：https://sufan.maytide.net/read.php/2144.htm

内容：

HOWTO: 为 64位 Arm 架构启用 Windows 热补丁
        适用于 Windows 11 24H2 Arm64 的热补丁现已正式发布，借助热补丁 IT 现在可以快速实施补丁的更新，帮助终端设备免受安全问题带来的影响，同时还能最大限度地降低用户中断时间。是的，在过去我们每次安装完 Windows 更新都要面临设备重启的问题，现在有了热补丁无需重启设备即可安装更新并生效。
        要为设备启用热补丁需要一些前置条件：
1. Windows 11 24H2 企业版，26100.2033 或更高版本
2. 设备必须采用最新的基线版本才能获得热补丁更新。微软通常按季度发布基线更新作为标准累计更新。
热补丁的发行周期可参考下表：
基线：包含最新的安全修补程序、累计新功能和增强功能，需要重启。
热补丁：包含安全更新，无需重启。






















季度
基线更新
热补丁
1
1月
2月和3月
2
4月
5月和6月
3
7月
8月和9月
4
10月
11月和12月
3. 符合条件的许可证之一：Windows 11 企业版 E3或 E5，Microsoft 365 F3，Windows 11 教育版 A3 或 A5，Microsoft 365 商业高级版或 Windows 365 企业版。
4. 通过 Microsoft Intune 管理 Windows Update
5. 设备启用基于虚拟化的安全性（VBS）
6. 对于 Arm64 设备需要禁用其 CHPE。（CHPE 是一种新型的 PE 文件，我们只需要理解它会同时包含像 x86 和 Arm64 这样的代码，且 x86 仿真进程和 Arm64 本机进程都可以使用，从而提升仿真器的性能。）
        以上前置条件中，之所以要为 Arm64 设备禁用 CHPE 是因为目前热补丁与 CHPE OS 二进制文件“%SystemRoot%\SyChpe32”还不兼容。要禁用 CHPE 也非常方便，只需要在 Intune 中下发一条策略即可，为此我们转到 Intune 管理门户，为设备创建一个基于“设置目录”的配置文件，搜索 CHPE 即可找到"Disable CHPE"，将其配置为“CHPE Binaries Disabled”。

该配置对应的 CSP 如下：
./Device/Vendor/MSFT/Policy/Config/Hotpatch/DisableCHPE，Int，0（启用 - 默认） or 1（禁用）
注册表路径如下：
HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management\HotPatchRestrictions = 1
        当为 Arm64 设备下发了 DisableCHPE 配置文件后，便可以修改现有或创建新的 Windows Update 的质量更新策略，如下图所示，我们仅需要确保“如果可用，请在不重启设备的情况下应用（“热补丁”）”设置为“启用状态”，并将其指派给需要热补丁的 Arm64 设备组即可。



推荐参考：
Hotpatching now available for 64-bit Arm architectureHotpatch updates | Microsoft LearnRelease notes for hotpatch on Windows 11 24H2 EnterpriseDisableCHPE | Microsoft Learn - System policy CSPProgram Compatibility Troubleshooter on Arm | Microsoft Learn


Generated by Bo-blog 2.1.1 Release