EC2 Graviton Windows 11 ARM 的 Windows Update 补丁管理验证
2026/7/3大约 3 分钟
EC2 Graviton Windows 11 ARM 的 Windows Update 补丁管理验证
Graviton 上跑的是非官方方式安装的 Windows 11 ARM,Windows Update 还能正常工作吗?更新会不会把 inbox StorNVMe 驱动替换掉导致系统异常?本文做了完整的补丁扫描、下载、安装验证。
测试环境
| 项目 | 配置 |
|---|---|
| 实例 | t4g.large(Graviton2) |
| 系统 | Windows 11 Pro 25H2 ARM64,Build 26200.8655 |
| NVMe 驱动 | inbox stornvme.inf 10.0.26100.8521 |
| ENA 驱动 | AWS ENA ARM64 2.2.1.65 |
结论速览
| 测试项 | 结果 |
|---|---|
| Windows Update 扫描 | 正常连接微软服务器并完成扫描 |
| 累积更新安装 | KB5094126 已成功安装 |
| Defender 签名更新 | 每日自动更新成功 |
| 驱动更新 | AudioProcessingObject 驱动更新成功 |
| StorNVMe 被覆盖? | 未被覆盖,版本不变 |
| 更新后需要重启? | 不需要(签名和驱动更新不要求重启) |
| 更新后系统异常? | 无异常 |
ARM64 和 x64 补丁的关系
Windows 11 的累积更新在 ARM64 和 x64 之间使用相同的 KB 编号和相同的 Build 号,但安装包是分开的。
以 2026 年 6 月安全更新为例:
| 属性 | x64 | ARM64 |
|---|---|---|
| KB 编号 | KB5094126 | KB5094126 |
| Build 号 | 26200.8655 | 26200.8655 |
| Catalog 条目 | ...for x64-based Systems | ...for arm64-based Systems |
Windows Update 客户端会自动识别系统架构拉取对应包,不存在"装错架构"的风险。手动离线安装时,在 Microsoft Update Catalog 搜索 KB 编号要认准 arm64-based Systems 条目,选错架构的包会被系统拒绝。
Defender 签名更新(KB2267602)在 ARM64 上同样正常接收,签名是平台无关的数据文件。
实测过程
1. 基线确认
# 查看当前 Build
(Get-ItemProperty 'HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion').DisplayVersion
# 输出: 25H2
# 已安装补丁
Get-HotFix | Sort-Object InstalledOn -Descending | Format-Table HotFixID, Description, InstalledOn2. 扫描可用更新
$session = New-Object -ComObject Microsoft.Update.Session
$searcher = $session.CreateUpdateSearcher()
$result = $searcher.Search('IsInstalled=0')
Write-Host "Found $($result.Updates.Count) updates."
foreach ($update in $result.Updates) {
Write-Host " $($update.Title) - $([math]::Round($update.MaxDownloadSize / 1MB, 1)) MB"
}扫描在 14 秒内完成,WU 客户端能正常连接微软更新服务器。
3. 下载并安装
foreach ($update in $result.Updates) {
if (-not $update.EulaAccepted) { $update.AcceptEula() }
}
$downloader = $session.CreateUpdateDownloader()
$downloader.Updates = $result.Updates
$downloadResult = $downloader.Download()
$installer = $session.CreateUpdateInstaller()
$installer.Updates = $result.Updates
$installResult = $installer.Install()
# ResultCode: 2 (Succeeded)
# RebootRequired: False4. 更新后驱动确认
Get-CimInstance Win32_PnPSignedDriver |
Where-Object {$_.InfName -like '*nvme*'} |
Select-Object DeviceName, DriverVersion, InfNameDeviceName DriverVersion InfName
---------- ------------- -------
Standard NVM Express Controller 10.0.26100.8521 stornvme.inf
Standard NVM Express Controller 10.0.26100.8521 stornvme.inf驱动版本未变,Windows Update 没有替换 inbox StorNVMe 驱动。
一个细节:PROCESSOR_ARCHITECTURE 返回 AMD64
$env:PROCESSOR_ARCHITECTURE
# 输出: AMD64
(Get-CimInstance Win32_ComputerSystem).SystemType
# 输出: ARM64-based PC
(Get-CimInstance Win32_OperatingSystem).OSArchitecture
# 输出: ARM 64 位处理器PowerShell 5.1 在 Windows 11 ARM 上以 x64 模拟模式运行,因此进程环境变量报告 AMD64。但系统级 WMI 查询正确反映 ARM64 架构。Windows Update 客户端不依赖进程级环境变量判断架构,即使 PowerShell 看到 AMD64 也能正确拉取 ARM64 补丁包。
注意事项
- 累积更新可能需要重启:本次测试只装了签名和驱动更新(不要求重启)。月度累积更新通常需要重启。在 Graviton 上重启等于实例 stop/start,需确认 stop 后能正常 start。
- StorNVMe 不会被 WU 替换:inbox StorNVMe 跟随 OS 版本走,只有大版本升级(如 25H2 → 26H1)时才会被新版 inbox 驱动替换。
- 手动离线安装:从 Update Catalog 下载时认准
arm64-based Systems条目。x64 的 .msu 文件会被拒绝(The update is not applicable to your computer)。 - SSM Patch Manager 兼容性:Windows 11 Pro(非 Server)对 SSM Patch Manager 支持有限,建议通过 COM 对象或
UsoClient StartScan管理更新。
