KB5072753 是一個於 11 月底發佈的熱修補,針對 Windows 11 Enterprise 和 Windows Server 2025 設備,這些設備運行於 26200.x 版本線上。這是一個異常的安全和質量更新,基於當前的熱修補循環進行發佈,將系統升級至操作系統版本 26200.7093,並附帶現有的服務堆棧更新,這樣用戶無需按照特定順序安裝組件。
KB5072753 實際上是熱修補流的一部分,適用於:
- 當報名參加熱修補的 Windows 11 Enterprise 版本 25H2 和 24H2。
- Windows Server 2025 Datacenter Azure Edition 和其他啟用了熱修補的 Server 2025 SKU,與 26200.x 客戶端版本系列對應。
其主要屬性如下:
| 屬性 | 詳細資訊 |
|---|---|
| KB ID | KB5072753 |
| 安裝後的操作系統版本 | 26200.7093 |
| 發佈類型 | 熱修補,異常(OOB) |
| 發佈日期 | 2025年11月20日 |
| 服務堆棧 | KB5067035,版本 26100.7010(捆綁) |
| 重啟行為 | 設計為在熱修補註冊的設備上無需重啟即可應用 |
| 交付方式 | Windows Update、管理更新服務及 Microsoft Update Catalog |
| 供應商狀態 | 發佈時無已知問題列出 |
與常規的 Patch Tuesday 熱修補(KB5068966,26200.7092)不同,此包是作為一個快速跟進修補,旨在修正 11 月熱修補推出後立即出現的行為問題。
在 11 月 11 日的熱修補(KB5068966)推出後,一些運行 Windows 11 版本 25H2 的設備開始在後續的 Windows Update 掃描中再次看到相同的熱修補被提供。重新安裝並未損壞任何東西,但卻混亂了更新歷史,並對合規性造成困惑。
其症狀包括:
- KB5068966 顯示已成功安裝。
- 後續掃描觸發了另一個 KB5068966 的下載和安裝。
- 只有記錄的安裝時間改變,功能保持不變。
KB5072753 是修正這一重新提供行為的修補。一旦安裝了 26200.7093,Windows Update 就會停止在受影響的 25H2 設備上重複重新安裝 11 月的熱修補。
該包同時繼續進行“內部操作系統功能的雜項安全改進”,並未記錄其他可見的用戶修正。實際上,這意味著它在 10 月基線和 11 月熱修補的基礎上進行安全性和可靠性的加強,但不會改變功能。
熱修補是圍繞每季度的“基線”建立的,該基線需要重啟,隨後是兩個無需重啟的月度熱修補。對於 Windows 11 Enterprise 和 Server 2025,在 2025 年底的熱修補周期中:
- 2025年10月14日:25H2 / 24H2 和 Server 2025 的基線更新;需要重啟。
- 2025年11月11日:該基線之上的第一次熱修補(KB5068966,26200.7092)。
- 2025年11月20日:修正重新提供問題的異常熱修補(KB5072753,26200.7093)。
在此周期中,服務堆棧仍為 KB5067035(26100.7010)。該堆棧更新已在多個 10 月和 11 月的 Windows 11 / Server 2025 發佈中使用,而 KB5072753 只是重用它,而不是引入新的服務堆棧。
需注意的是,熱修補僅在設備正確註冊、滿足先決條件並運行在支持的版本上時適用。未在該軌道上的設備將繼續接收標準的累積更新,並需要重啟。
客戶端熱修補並不是消費者功能,僅限於特定的企業 SKU 和配置。在期待 KB5072753 在 Windows 11 客戶端設備上出現之前,環境必須滿足以下條件:
| 要求 | 最低要求 |
|---|---|
| 版本 | Windows 11 Enterprise,版本 25H2 或 24H2 |
| 版本號 | 26100.4929 或更新版本,於報名參加熱修補之前 |
| 授權 | Windows 11 Enterprise E3/E5、Microsoft 365 F3、Windows 11 Education A3/A5、Microsoft 365 Business Premium 或 Windows 365 Enterprise |
| 管理 | 使用 Microsoft Intune 管理,並設置熱修補啟用的 Windows 質量更新政策 |
| 安全基線 | 啟用基於虛擬化的安全性(VBS) |
| CHPE 設置(僅限 ARM64) | 禁用編譯的混合 PE(CHPE) |
在 ARM64 客戶端上必須關閉 CHPE,因為兼容性層會與熱修補在內存中插入二進制文件的方式發生衝突。有兩種支持的方式來禁用它:
- 通過 Intune 或其他 MDM 使用系統策略 CSP 中的 DisableCHPE 設置,然後重啟一次。
- 在註冊表中設置 HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management\HotPatchRestrictions = 1,然後重新啟動設備。
一旦禁用 CHPE,並且設備運行在支持的版本和熱修補基線上,Intune 可以將其註冊到啟用了熱修補的質量更新政策中。在該政策中,關鍵設置是允許“在不重啟設備的情況下應用”熱修補合格的更新。
官方的“先決條件”和客戶端熱修補的註冊流程在 Microsoft Learn 的 Windows Autopatch 熱修補更新部分中有詳細說明,並且熱修補的發佈說明鏈接到 Windows 11 Enterprise 版本 25H2 的這些要求。
KB5072753 使用綜合的服務堆棧 + 熱修補包裝。這意味著:
- Windows Update 在提供熱修補時會自動包含 SSU KB5067035(如果尚未存在)。
- 從 Microsoft Update Catalog 獲取 MSU 包的管理工具,可以選擇單個綜合包,或在 SKU 存在單獨 SSU 和 LCU 組件的情況下,必須先安裝 SSU。
交付渠道如下:
| 渠道 | KB5072753 的可用性 | 典型用法 |
|---|---|---|
| Windows Update / Microsoft Update | 自動提供給合格的熱修補註冊設備 | 大多數雲管理客戶端和 Azure 連接的伺服器 |
| 管理服務(Intune、ConfigMgr、Autopatch) | 作為質量更新顯示,可以批准或安排 | 企業桌面和虛擬桌面基礎設施(VDI) |
| Microsoft Update Catalog | 獨立的 MSU/CAB 用於手動部署和離線媒介 | 斷開的網絡,金色映像服務 |
| WSUS | 在支持該產品的熱修補流中可用 | 本地伺服器群,包括 Windows Server 2025 Datacenter Azure Edition |
對於目錄下載,管理員在 Microsoft Update Catalog 網站上搜索“KB5072753”。當出現多個 MSU 文件針對某一產品時,建議的做法是將所有 KB5072753 的 MSU 下載到同一文件夾中,並讓 DISM 自動發現和應用先決條件:
DISM /Online /Add-Package /PackagePath:C:\Packages\Windows11.0-KB5072753-x64.msu
在離線映像中,采用相同的模式,/Image 或 -Path 切換指向掛載目錄。這種方法與最近的異常修復如 KB5070773 部署到 Windows 11 和 Windows Server 2025 映像的方式一致。
大多數組織會將 KB5072753 視為一個針對性的緊急修復,進行快速但受控的分階段推出。一個簡單的流程如下:
| 步驟 | 行動 | 為何重要 |
|---|---|---|
| 1. 清單 | 列出所有熱修補註冊的 Windows 11 和 Server 2025 設備,這些設備都在 26200.x 版本系列上。 | 確定應該看到 KB5072753 的系統範圍。 |
| 2. 確認堆棧 | 驗證 SSU KB5067035(26100.7010)的存在,或者允許 Windows Update 通過熱修補傳遞它。 | 防止由於過時的堆棧組件造成的服務失敗。 |
| 3. WSUS 和更新基礎設施 | 更新 WSUS 目錄,並在廣泛批准之前確認 KB 元數據和目標組。 | 避免之前使某些主機脫離熱修補計劃的錯誤目標問題。 |
| 4. 試點環 | 將 KB5072753 部署到一小部分代表性的設備(硬件和工作負載的混合),並監控 24–72 小時。 | 及早警告任何應用或工作負載特定的問題。 |
| 5. 大規模部署 | 分階段推出到其餘熱修補設備,優先考慮關鍵基礎設施和高可用性系統。 | 修復重新提供問題,並將所有設備帶到一致的 26200.7093 版本。 |
| 6. 驗證狀態 | 使用 winver 或 dism /online /get-packages 確認操作系統版本和 KB5072753 的存在。 | 確保更新完成,設備仍然在熱修補流上。 |
對於 Windows Server 2025 和 WSUS 來說,最近的歷史是相關的。早前的一個 WSUS 異常安全修復(CVE‑2025‑59287)曾經因錯誤的目標而短暫發佈,導致一組 Server 2025 主機因安裝錯誤的包而脫離了熱修補路徑。此後的修復需要暫停/重新啟用步驟,以及未來的基線重新註冊,以恢復熱修補的合格性。該事件使 WSUS 從服務的角度變成了一個“皇冠珠寶”資產:它需要嚴格的加固、緊密的批准工作流程,以及每當出現 OOB 累積或熱修補時都要仔細檢查元數據。
KB5072753 本身並不改變 WSUS 的行為,但由於其異常性質,更新管理員應該以同樣謹慎的態度對待熱修補和 OOB 包的目標。
熱修補吸引人的原因在於它減少了日曆中的許多重啟,特別是對於:
- 高可用性集群和後端服務。
- 遠端桌面會話主機和 VDI 農場。
- 關鍵的本地工作負載,重啟窗口成本高昂。
但同樣使得無需重啟的交付機制也會在某些方面引入脆弱性:
- 服務狀態的黏性。 熱修補註冊與特定基線和更新身份相關聯。在錯誤的時間安裝錯誤的累積更新可能會使設備脫離熱修補路徑,回到標準的每月 LCU 並需要重啟。
- 渠道複雜性。 基線、LCU、SSU、熱修補流和異常更新現在都相互影響。管理員不僅要決定部署什麼,還要考慮何時以及通過哪個渠道進行部署。
- 不明確的影響聲明。 像“僅有少數主機”這樣的供應商語言對於大型設備群來說並不夠;企業仍需擁有自己的遙測來確切了解哪些設備受到異常或錯誤目標的影響。
在這樣的背景下,KB5072753 是一個相對直接的更新:它修正了熱修補重新提供邏輯中的特定煩惱,增加了內部安全加強,並保留了在多個最近發佈中使用的已知服務堆棧。主要的操作挑戰不在於修補內容,而在於保持熱修補的合格性,並在部署另一個異常包時避免錯誤目標。
對於已經致力於在 Windows 11 和 Windows Server 2025 上進行熱修補的組織,KB5072753 是穩定 11 月波動的清理步驟。一旦它通過正常的環進行試點和部署,設備管理者將恢復一個清晰的更新歷史,熱修補設備間的一致 26200.7093 版本,以及更順暢的進入下一季度基線的過渡。
來自:Microsoft
