热修补是一种在 Windows Server 上安装 OS 安全更新而无需重启计算机的方法。 热修补正在运行的进程的内存中代码,而无需重启进程。 热修补还提供以下优势:
二进制文件减少会使更新安装速度更快,使用的磁盘空间和 CPU 资源更少。
降低工作负荷影响,减少重启计算机的需要。
提供更好的保护,因为热补丁更新包只包括安装速度较快且无需重启的 Windows 安全更新
减少暴露于安全风险和更换窗口的时间,并使用 Azure 更新管理器简化补丁编排。
支持的平台
Azure 和 Azure 本地虚拟机
下表列出了支持 Azure 上 Windows Server 2022 和 Windows Server 2025 热修补的发布者、OS 产品/服务和 SKU 的确切组合。 在 Azure 本地使用这些组合创建的虚拟机 (VM) 也支持热修补。
Note
不支持 Windows Server 容器基础映像、自定义映像或任何其他发布者、产品/服务和 SKU 组合。
| Publisher | OS 产品/服务 | SKU |
|---|---|---|
| MicrosoftWindowsServer | WindowsServer | 2022-Datacenter-Azure-Edition-Core |
| MicrosoftWindowsServer | WindowsServer | 2022-Datacenter-Azure-Edition-Core-smalldisk |
| MicrosoftWindowsServer | WindowsServer | 2022-Datacenter-Azure-Edition-Hotpatch |
| MicrosoftWindowsServer | WindowsServer | 2022-Datacenter-Azure-Edition-Hotpatch-smalldisk |
| MicrosoftWindowsServer | WindowsServer | 2025-Datacenter-Azure-Edition |
| MicrosoftWindowsServer | WindowsServer | 2025-Datacenter-Azure-Edition-smalldisk |
| MicrosoftWindowsServer | WindowsServer | 2025-Datacenter-Azure-Edition-Core |
| MicrosoftWindowsServer | WindowsServer | 2025-Datacenter-Azure-Edition-Core-smalldisk |
有关可用映像的详细信息,请参阅 Azure 市场上的 Windows Server 。
已连接 Azure Arc 的计算机
Important
适用于 Windows Server 2025 的 Azure Arc 连接的热修补现在可按月收取订阅费用。 若要了解有关定价的详细信息,请参阅 “厌倦了所有重启” ?获取 Windows Server 的热修补。
如果在 Azure Arc 门户中启用该功能,则 Azure Arc 连接的 Windows Server 2025 计算机可以接收热补丁。 要开始使用已启用 Azure Arc 的热补丁,请使用以下版本之一将 Azure Arc 连接到计算机:
Windows Server 2025 Datacenter Edition
Windows Server 2025 Standard Edition
热补丁的工作方式
热补丁首先使用最新的 Windows Server 2016 累积更新建立基线。 每隔三个月,基线就会使用最新的累积更新定期刷新。 然后,你将在累积更新后的两个月内收到热补丁版本。 例如,如果 1 月是累积更新,则 2 月和 3 月会有热补丁发布。 有关 Hotpatch 发布计划的详细信息,请参阅 Windows Server 热修补日历。
有两种类型的基线: 计划基线 和 计划外基线。
计划的基线 按常规节奏发布,在两者之间发布 Hotpatch 版本。 计划基线包括当月可比较的最新累积更新中的所有更新,并要求重启计算机。
- 例如,计划的一年发布期可能包括一个日历年内的 4 个计划基线发布和 8 个热补丁发布。
计划外的重要 更新(如零日修复)期间会发布计划外基线,当该特定更新无法作为热修补发布时。 发布计划外基线时,热补丁版本将替换为该月中的计划外基线。 计划外基线还包括当月可比较的最新累积更新中的所有更新,因此要求重启计算机。
- 由于这些事件是计划外事件,因此开发人员无法提前预测计划外基线。
热补丁更新不需要重启计算机。 由于热补丁会修补正在运行的进程的内存中代码,而无需重启它们,因此应用程序不会受到影响。 这种不重启的情况不会影响补丁本身的性能或功能。
支持的更新
热补丁涵盖了 Windows 安全更新,并与在常规(非热补丁)Windows 更新通道中发布的安全更新的内容相同。
在受支持的 Windows Server 版本上启用热补丁时,需要考虑一些重要事项。 仍然需要重启计算机才能安装热补丁程序中未包含的更新。 安装新基线后,还需要定期重启。 重启可使 VM 与最新累积更新中包含的非安全补丁保持同步。
以下补丁当前不包括在热补丁程序中,需要你在热补丁发布月份更新计算机:
Windows 的非安全更新
.NET 更新
非 Windows 更新,例如驱动程序、固件更新等。
补丁编排过程
热补丁是 Windows 更新和典型管理过程的扩展。 但是,修补程序管理工具因所使用的平台而异。
Azure
默认情况下,使用受支持的 Windows Server 映像在 Azure 中创建的 VM 启用了自动 VM 来宾修补。
热补丁会自动下载并将分类为“严重”或“安全”补丁应用于 VM。
热补丁在 VM 时区的非高峰时段应用补丁。
Azure 会为你管理修补程序,并根据 可用性优先原则应用修补程序。
Azure 通过平台运行状况信号监视 VM 运行状况,以检测修补故障。
Note
无法在带有热补丁的 Azure Edition 映像上创建具有统一业务流程的 Azure 虚拟机规模集。 若要详细了解规模集支持的统一业务流程功能,请参阅 灵活、统一和可用性集的比较。
Azure Local
Azure Local 可以使用以下工具管理虚拟机的热修补更新:
组策略配置 Windows 更新客户端设置。
SCONFIG 为 Server Core 配置 Windows 更新客户端设置。
非 Microsoft 补丁管理解决方案。
已连接 Azure Arc 的计算机
已连接 Azure Arc 的计算机可以使用以下工具安装和管理热补丁更新:
Azure 更新管理器
组策略配置 Windows 更新客户端设置。
SCONFIG 为 Server Core 配置 Windows 更新客户端设置。
非 Microsoft 补丁管理解决方案。
有关热补丁使用的工具的详细信息,请查看我们的 Azure 更新管理器文档。
了解 Azure 中 VM 的补丁状态
要查看 VM 的补丁状态,请在 Azure 门户中打开 VM 的“概述”页。 在此处,在 “作”下,选择“ 更新”。 建议 的更新下应会显示修补程序状态和最近安装的修补程序。
在 “建议的更新 ”页中,可以看到 VM 的热修补状态,以及 VM 是否有可用的修补程序。 正如我们在热修补的工作原理中所述,自动 VM 来宾修补会自动在 VM 上安装所有关键和安全补丁。
这两个类别之外的修补程序不会自动安装,而是作为可用修补程序列表显示在 “更新符合性 ”选项卡中。 还可以查看“ 更新历史记录 ”选项卡,查看过去 30 天内 VM 上更新部署的修补程序安装详细信息。
自动 VM 来宾修补定期运行可用修补程序的评估,可在“ 更新 ”选项卡中查看这些修补程序。可以通过选择“ 立即评估 ”按钮手动启动评估。 还可以通过选择立即安装更新按钮按需安装补丁。 此选项允许你选择是否在特定修补程序分类下安装所有更新。 还可以通过提供知识库文章列表来选择要包含或排除的单个更新。 但是,请记住,手动安装的补丁不遵循可用性优先原则,并且可能需要重启 VM。
还可以通过在 PowerShell 中运行 Get-HotFix cmdlet 或通过在桌面体验中查看 “设置” 菜单来查看已安装的修补程序。
对热修补的回滚支持
热补丁更新不支持自动回滚。 如果在更新期间或之后遇到问题,则必须卸载最新更新并安装最后一个功能基线更新。 此过程要求重启 VM。