Microsoftは7月9日(米国時間)、「Hotpatching now available for 64-bit Arm architecture - Windows IT Pro Blog」において、Windows11バージョン24H2のホットパッチが64ビットArmアーキテクチャをサポートしたと発表した。

ホットパッチは再起動せずにセキュリティ更新プログラムの適用を可能にするWindowsの更新技術。実行中のメモリ内コードを更新することで再起動を回避する。企業システムでの利用を想定しており、再起動が難しいシステムの更新遅れを回避する。

これまでIntelおよびAMDプロセッサを搭載したx64アーキテクチャのみをサポートしていたが、今回新たにArmが加わった。サポート対象となるデバイスでは再起動を最小限に抑えた更新プログラムの適用が可能になる。

  • Hotpatching now available for 64-bit Arm architecture - Windows IT Pro Blog

    Hotpatching now available for 64-bit Arm architecture - Windows IT Pro Blog

前提条件と事前準備

ホットパッチを利用するには前提条件の確認と設定を行う必要がある。前提条件は次のとおり。

  • 最新のベースライン更新プログラムをインストールしたWindows 11 Enterpriseバージョン24H2(ビルド26100.2033以降)が動作している
  • Microsoft Intuneのホットパッチ管理にデバイスを登録している(参考:「ホットパッチ更新プログラム | Microsoft Learn」)
  • 対象ライセンス(Windows 11 Enterprise E3またはE5、Microsoft 365 F3、Windows 11 Education A3またはA5、Microsoft 365 Business Premium、Windows 365 Enterpriseのいずれか)を所有している
  • 仮想化ベースのセキュリティ(VBS: Virtualization-based Security)に対応している

Arm64デバイスの場合は事前準備としてCompiled Hybrid PE(CHPE)を無効にする必要がある。Microsoftは次の2つの設定方法を提案し、管理方針に従っていずれかを採用するように推奨している。

  • Microsoft Intuneまたはグループ ポリシーを使用して構成サービスプロバイダー(CSP: Configuration Service Provider)の設定「./Device/Vendor/MSFT/Policy/Config/Hotpatch/DisableCHPE = 1」を適用し、デバイスを再起動する
  • レジストリーキー「HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management\HotPatchRestrictions」の値(DWORD)を「1」に設定し、デバイスを再起動する
  • Microsoft Intuneの設定カタログからCHPEを無効にする - 引用:Microsoft

    Microsoft Intuneの設定カタログからCHPEを無効にする 引用:Microsoft

CHPEを無効にした場合の影響

CHPEはパフォーマンスの向上を目的としたネイティブArm64コードを含むx86互換バイナリとされる。この機能を無効にした場合、x86アプリケーションはエミュレーションモードでの実行が強制され、パフォーマンスの低下や互換性に影響を与える可能性がある。

MicrosoftはCHPE対応のホットパッチをサポートする予定はないと明言し、この影響についてデバイスごと検証するように推奨している。許容できないパフォーマンスの低下や互換性の問題が発生した場合、ホットパッチの利用は難しいと考えられる。

ホットパッチはセキュリティと生産性の向上を両立する新しいアップデート技術だ。毎月配信されるセキュリティ更新プログラムによる再起動を3分の1に減らし、顧客への影響を抑えながら迅速なセキュリティ対策を可能にする。

すべてのユーザーを対象とするものではないが、利用可能かつ生産性の向上が期待できる場合には積極的な活用が望まれている。