HOWTO: 为 64位 Arm 架构启用 Windows 热补丁

        适用于 Windows 11 24H2 Arm64 的热补丁现已正式发布，借助热补丁 IT 现在可以快速实施补丁的更新，帮助终端设备免受安全问题带来的影响，同时还能最大限度地降低用户中断时间。是的，在过去我们每次安装完 Windows 更新都要面临设备重启的问题，现在有了热补丁无需重启设备即可安装更新并生效。

        要为设备启用热补丁需要一些前置条件：

1. Windows 11 24H2 企业版，26100.2033 或更高版本

2. 设备必须采用最新的基线版本才能获得热补丁更新。微软通常按季度发布基线更新作为标准累计更新。

热补丁的发行周期可参考下表：

基线：包含最新的安全修补程序、累计新功能和增强功能，需要重启。

热补丁：包含安全更新，无需重启。

季度	基线更新	热补丁
1	1月	2月和3月
2	4月	5月和6月
3	7月	8月和9月
4	10月	11月和12月

3. 符合条件的许可证之一：Windows 11 企业版 E3或 E5，Microsoft 365 F3，Windows 11 教育版 A3 或 A5，Microsoft 365 商业高级版或 Windows 365 企业版。

4. 通过 Microsoft Intune 管理 Windows Update

5. 设备启用基于虚拟化的安全性（VBS）

6. 对于 Arm64 设备需要禁用其 CHPE。（CHPE 是一种新型的 PE 文件，我们只需要理解它会同时包含像 x86 和 Arm64 这样的代码，且 x86 仿真进程和 Arm64 本机进程都可以使用，从而提升仿真器的性能。）

        以上前置条件中，之所以要为 Arm64 设备禁用 CHPE 是因为目前热补丁与 CHPE OS 二进制文件“%SystemRoot%\SyChpe32”还不兼容。要禁用 CHPE 也非常方便，只需要在 Intune 中下发一条策略即可，为此我们转到 Intune 管理门户，为设备创建一个基于“设置目录”的配置文件，搜索 CHPE 即可找到"Disable CHPE"，将其配置为“CHPE Binaries Disabled”。

该配置对应的 CSP 如下：

./Device/Vendor/MSFT/Policy/Config/Hotpatch/DisableCHPE，Int，0（启用 - 默认） or 1（禁用）

注册表路径如下：

HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management\HotPatchRestrictions = 1

        当为 Arm64 设备下发了 DisableCHPE 配置文件后，便可以修改现有或创建新的 Windows Update 的质量更新策略，如下图所示，我们仅需要确保“如果可用，请在不重启设备的情况下应用（“热补丁”）”设置为“启用状态”，并将其指派给需要热补丁的 Arm64 设备组即可。

推荐参考：

• Hotpatching now available for 64-bit Arm architecture
• Hotpatch updates | Microsoft Learn
• Release notes for hotpatch on Windows 11 24H2 Enterprise
• DisableCHPE | Microsoft Learn - System policy CSP
• Program Compatibility Troubleshooter on Arm | Microsoft Learn