Aktivieren Sie das Hotpatching für Windows Server 2025: Ein Schritt-für-Schritt-Leitfaden

Tutorials

Hotpatching ist eine leistungsstarke Funktion in Windows Server 2025, die es Administratoren ermöglicht, Sicherheitsupdates und Patches anzuwenden, ohne dass ein Systemneustart erforderlich ist, wodurch die Ausfallzeiten minimiert und der kontinuierliche Betrieb sichergestellt wird. Dieser Artikel bietet einen Überblick darüber, wie man Hotpatching in Windows Server 2025 aktiviert. Wir werden die Voraussetzungen, Schritt-für-Schritt-Anleitungen, bewährte Verfahren und Tipps zur Fehlersuche behandeln.

Was ist Windows Server Hotpatching?

Da Organisationen zunehmend auf Windows Server angewiesen sind, um kritische Geschäftsabläufe zu verwalten, wird es unerlässlich, die Ausfallzeiten zu minimieren. Eine der neuesten Innovationen zur Unterstützung dieses Bedarfs ist Hotpatching.

Anzeige

Microsoft kündigte zunächst eine Hotpatching (Hotpatch)-Vorschau für Windows Server 2022 virtuelle Maschinen (VMs) in Microsoft Azure an und veröffentlichte sie (benötigt Windows Server 2022 Azure Edition ISOs). Da es reifer geworden ist, wird es auf weitere Plattformen und Umgebungen, einschließlich physischer Server, ausgerollt. Hotpatching, das sich jetzt in der öffentlichen Vorschau befindet, ist eine Funktion, die es Administratoren ermöglicht, Sicherheitsupdates und Patches mit weniger Neustarts im Laufe des Jahres anzuwenden. Microsoft wird voraussichtlich diese Funktion irgendwann im Jahr 2025 allgemein verfügbar machen.

Falls es nicht klar ist, kann Windows Server 2025 Hotpatching auf anderen Virtualisierungsplattformen neben Hyper-V ausgeführt werden, wie z.B. VMWare und alle anderen Plattformen, die Microsofts auf den Schutz ausgerichtete Virtualisierungsfunktion namens Virtualization-Based Security (VBS) unterstützen. (Mehr dazu unten)

Jährlicher Hotpatching-Zeitplan

Anstatt sich um zwölf obligatorische monatliche Neustarts pro Jahr zu kümmern, bietet Hotpatching nur vier geplante Neustarts pro Jahr. Für den Patch Tuesday im Januar, April, Juli und Oktober können IT-Profis erwarten, dass das monatliche kumulative Update einen Neustart erfordert. Aber für die anderen Monate im Jahr werden die im Speicher befindlichen Prozesse über spezielle Hotpatch-Windows-Sicherheitsupdates aktualisiert – schnellere Installationen und kein Neustart erforderlich!

Hotpatch-Patches kommen mit reduziertem Ressourcenverbrauch, einschließlich weniger CPU-Ressourcen während der Installation und kleineren Binärdateien, was sie kleiner und schneller zu installieren macht. Eine einfachere Patch-Orchestrierung für IT-Profis ist immer willkommen.

Werbung

Voraussetzungen für Windows Server-Hotpatching

Es gibt einige Dinge zu beachten, bevor Sie Hotpatching verwenden. Lassen Sie uns die wichtigsten Voraussetzungen für die Aktivierung von Hotpatching durchgehen:

  • Windows Server-Versionen

    Zunächst müssen Sie Windows Server 2025 (Standard Edition oder Datacenter Edition) verwenden. Dies wird für viele Organisationen ein Hindernis sein, aber wie gesagt, dieser Meilenstein ist ein weiterer Schritt in Microsofts Gesamtplan, diese Technologie allmählich einzuführen.

  • Internet / Azure Arc

    Eine stabile und zuverlässige Internetverbindung ist erforderlich, um auf die Microsoft Windows Update-Server zuzugreifen. Außerdem müssen Sie Windows Server mit Azure Arc verbinden, indem Sie den Azure Connected Machine Agent (CMA) verwenden.

  • Virtualisierungsbasierte Sicherheit (VBS)

    Virtualisierungsbasierte Sicherheit (VBS) ist entscheidend für das Hotpatching. VBS verwendet Hardware-Virtualisierung, um eine isolierte Umgebung, den sogenannten „sicheren Kernel“, zu schaffen, der Systemprozesse und sensible Daten vor unbefugtem Zugriff schützt.

Damit das Hotpatching funktioniert, muss das System VBS unterstützen, da Hotpatching die im Speicher befindlichen Codes laufender Prozesse aktualisiert, ohne dass ein Neustart erforderlich ist. Um sicherzustellen, dass diese Updates sicher und zuverlässig angewendet werden, muss der von VBS bereitgestellte sichere Kernel funktionsfähig sein.

Aktivieren von VBS

Diese Einstellung sollte standardmäßig aktiviert sein, aber um zu überprüfen, ob VBS aktiviert ist:

  • führen Sie „msinfo32.exe“ vom ‘Startmenü -> Ausführen‘ oder über die Eingabeaufforderung aus.
  • suchen Sie auf der Systemzusammenfassungsseite nach dem Eintrag ‘Virtualisierungsbasierte Sicherheit‘.
Checking if VBS is Enabled or not… – (Image Credit: Michael Reinders/Petri.com)

Es sieht so aus, als müsste ich es aktivieren. Ich führe diesen Befehl aus, um die Registrierung zu aktualisieren, und starte dann neu.

Anzeige

Reg add "HKLM\SYSTEM\ControlSet001\Control\DeviceGuard" /v "EnableVirtualizationBasedSecurity" /t REG_DWORD /d 1 /f

Ich habe msinfo32 erneut überprüft und der Eintrag zeigt jetzt „Läuft“. Bereit zum Fortfahren.

Windows Server 2025 Hotpatching aktivieren

  • Öffnen Sie den Server im Azure-Portal.
  • Unter dem Abschnitt „Funktionen“ sollte „Hotpatching (Vorschau)“ im Vordergrund stehen. Klicken Sie darauf.
  • Überprüfen Sie, ob Azure bestätigt, dass VBS „Ein“ ist.
  • Wählen Sie das Kontrollkästchen „Ich möchte diesen Windows Server lizenzieren, um monatliche Hotpatches zu erhalten“ und klicken Sie auf Bestätigen.
Enabling Hotpatch (preview) in the Azure Portal – (Image Credit: Michael Reinders/Petri.com)

Der Prozess der Anmeldung beginnt nun.

Waiting for enrollment to complete – (Image Credit: Michael Reinders/Petri.com)

Nach Abschluss sollten wir bereit sein. Der Server wird voraussichtlich die normalen Patches (im Dezember) und im Januar installieren, dann im Februar und März Hotpatches anbieten, bis im April ein weiterer normaler Neustart-Patchzyklus folgt, und so weiter.

Da wir uns in der frühen Phase dieser neuen Funktion in der öffentlichen Vorschau befinden, haben wir keine direkten Informationen, um zu beweisen, dass das Hotpatching läuft. Nach dem Rollout der vierteljährlichen Updates im Januar können wir im Februar darauf zurückkommen – die ersten Hotpatches sollten dann veröffentlicht werden.

Anzeige

Überprüfen, ob Windows Server für Hotpatching aktiviert ist

Es gibt nur wenige Methoden, um festzustellen, ob ein Server für Hotpatching aktiviert ist.

Methode 1

  • Im Azure-Portal für diesen Server können Sie zu Betrieb -> Updates navigieren, auf die Schaltfläche „Nach Updates suchen“ oben klicken und eine Bewertung für ausstehende Updates erhalten.
  • Auf demselben Bildschirm zeigt der Abschnitt „Hotpatch“ „Aktiviert.“
Verifying that Windows Server Hotpatch enabled patches are ready to go! – (Image Credit: Michael Reinders/Petri.com)

Methode 2

  • Auf dem Server selbst, wenn Sie zu Windows Updates navigieren und auf Updateverlauf klicken, sehen Sie (Hotpatches) neben den spezifischen Patches, die mit dieser Technologie verwendet werden.
Hotpatch capable updates have been installed – (Image Credit: Microsoft)

Vielen Dank, dass Sie meinen Beitrag zum Hotpatching von Windows Server gelesen haben. Fühlen Sie sich frei, unten einen Kommentar oder eine Frage zu hinterlassen.

Source:
https://petri.com/enable-windows-server-hotpatching/