Microsoft 将默认启用 Windows 热补丁安全更新
Source: Bleeping Computer
Microsoft 将在所有通过 Microsoft Intune 和 Microsoft Graph API 管理的符合条件的 Windows 设备上默认启用热修补安全更新,首批将在 2026 年 5 月的 Windows 安全更新中推出。这些更新将通过 Windows Autopatch(公司的企业服务)进行交付,自动保持 Windows 和 Microsoft 365 软件的最新状态。
Impact
在之前的更新模型中,IT 管理员通常会给用户 3 到 5 天的时间来重启设备,然后才强制合规——这段窗口期让组织面临攻击风险。此更改后,Microsoft 估计达到 90 % 补丁合规的时间将减半。
“从 2026 年 5 月的 Windows 安全更新开始,Windows Autopatch 将默认启用热修补安全更新,因为它们是最快的安全获取方式。此默认行为的更改将影响所有符合条件的 Microsoft Intune 设备。更多 IT 控制将在 4 月推出,” — Microsoft。
“您可以在租户层面禁用热修补更新,也可以为特定设备启用,反之亦然。当您准备好默认启用热修补更新时,只需将‘当可用时,在不重启设备的情况下应用(热修补)’切换回允许,” — Microsoft Tech Community。
Windows Autopatch 管理切换(Microsoft)
Managing Hotpatch Updates
管理员可以在 Intune 中使用 Hotpatch quality updates report 检查设备就绪情况,以确认设备是否已安装 2026 年 4 月的基线更新并满足先决条件以在 5 月接收热修补更新。
尚未准备好的组织可以在租户层面使用 Microsoft Intune 中的控制选项(自 2026 年 4 月 1 日起可用)进行退出。操作步骤如下:
- 打开 Microsoft Intune。
- 前往 Tenant administration → Windows Autopatch → Tenant management。
- 选择 Tenant settings 选项卡。
- 将 “When available, apply updates without restarting the device (hotpatch)” 设置切换为 Allow(允许)或 Block(阻止)。
由于 4 月是热修补基线月份,管理员在 2026 年 5 月 11 日 之前都有时间进行审查和调整,之后才会部署任何热修补更新。
Background
- Windows Autopatch 最早于 2022 年 4 月宣布,并在 2022 年 7 月对拥有 Windows Enterprise E3 和 E5 许可证的客户实现正式可用。
- Microsoft 表示,Windows Autopatch 目前已在超过 1000 万 台生产设备上运行,能够在安装的瞬间应用安全修复,并消除系统重启的需求。