Activar Hotpatching en Windows Server 2025: Una guía paso a paso

Tutoriales

Hotpatching es una función poderosa en Windows Server 2025 que permite a los administradores aplicar actualizaciones de seguridad y parches sin necesidad de reiniciar el sistema, minimizando el tiempo de inactividad y asegurando una operación continua. Este artículo proporciona una visión general de cómo habilitar Hotpatching en Windows Server 2025. Cubriremos requisitos previos, instrucciones paso a paso, mejores prácticas y consejos de solución de problemas.

¿Qué es el hotpatching de Windows Server?

A medida que las organizaciones dependen cada vez más de Windows Server para gestionar operaciones comerciales críticas, minimizar el tiempo de inactividad se vuelve esencial. Una de las últimas innovaciones para apoyar esta necesidad es el hotpatching.

Publicidad

Microsoft anunció inicialmente y lanzó una vista previa de hotpatching (hotpatch) para máquinas virtuales (VMs) de Windows Server 2022 en Microsoft Azure (requiriendo ISOs de Windows Server 2022 Azure Edition). A medida que ha madurado, han comenzado a implementarlo en más plataformas y entornos, incluyendo servidores físicos. El hotpatching, ahora en vista previa pública, es una función que permite a los administradores aplicar actualizaciones de seguridad y parches con menos reinicios a lo largo del año. Microsoft probablemente lanzará esta función para disponibilidad general en algún momento de 2025.

En caso de que no quede claro, Windows Server 2025 Hotpatching puede ejecutarse en otras plataformas de virtualización además de Hyper-V, como VMWare, y cualquier otra plataforma que admita la función de virtualización centrada en la protección de Microsoft llamada Virtualization-Based Security (VBS). (Más información a continuación)

Programa anual de hotpatching

En lugar de planificar alrededor de doce reinicios obligatorios mensuales por año, Hotpatching ofrece solo cuatro reinicios planificados al año. Para el Martes de Parches en enero, abril, julio y octubre, los profesionales de TI pueden esperar que la actualización acumulativa mensual requiera un reinicio. Pero para los otros meses del año, los procesos en memoria se actualizan mediante actualizaciones especiales de seguridad de Windows Hotpatch, ¡instalaciones más rápidas y sin necesidad de reiniciar!

Los parches Hotpatch vienen con un uso reducido de recursos, incluidos menos recursos de CPU durante la instalación y binarios más pequeños, lo que los hace más pequeños y más rápidos de instalar. La orquestación de parches más fácil para los profesionales de TI siempre es bienvenida.

Publicidad

Prerrequisitos de hotpatching de Windows Server

Hay algunas cosas a tener en cuenta antes de planificar el uso de Hotpatching. Veamos los principales prerrequisitos para habilitar Hotpatching:

  • Versiones de Windows Server

    En primer lugar, y este es bastante estricto, necesitas utilizar Windows Server 2025 (edición Standard o edición Datacenter). Esto será un obstáculo para muchas organizaciones, pero como mencioné, este hito es otro de los planes generales de Microsoft para implementar gradualmente esta tecnología.

  • Internet / Azure Arc

    Se requiere una conexión a Internet estable y confiable para acceder a los servidores de actualización de Microsoft Windows. Además, necesitarás conectar Windows Server a Azure Arc utilizando el Agente de Máquina Conectada de Azure (CMA).

  • Seguridad basada en virtualización (VBS)

    La Seguridad Basada en Virtualización (VBS) es fundamental para que funcione el Hotpatching. VBS utiliza la virtualización de hardware para crear un entorno aislado, conocido como un “núcleo seguro”, que protege los procesos del sistema y los datos sensibles del acceso no autorizado.

Para que el hotpatching funcione, el sistema debe admitir VBS porque el hotpatching actualiza el código en memoria de los procesos en ejecución sin necesidad de reiniciar. Para garantizar que estas actualizaciones se apliquen de manera segura y segura, el núcleo seguro proporcionado por VBS debe estar operativo.

Activar VBS

Esta configuración debería estar activada de forma predeterminada, pero para verificar que VBS está habilitado:

  • ejecuta ” msinfo32.exe ” desde el ‘ Menú Inicio -> Ejecutar ‘ o en un símbolo del sistema.
  • busca el elemento ‘ Seguridad basada en virtualización ‘ en la página de Resumen del sistema.
Checking if VBS is Enabled or not… – (Image Credit: Michael Reinders/Petri.com)

Parece que necesito habilitarlo. Ejecuto este comando para actualizar el Registro y luego reiniciar.

Publicidad

Reg add "HKLM\SYSTEM\ControlSet001\Control\DeviceGuard" /v "EnableVirtualizationBasedSecurity" /t REG_DWORD /d 1 /f

Verifiqué msinfo32 nuevamente y el ítem ahora muestra ‘Ejecutándose’. Listo para proceder.

Habilitar hotpatching en Windows Server 2025

  • Abre el servidor en el Portal de Azure.
  • Luego, en la sección de Capacidades, ‘ Hotpatching (vista previa)‘ debería estar en el centro. Haz clic en ello.
  • Verifica que Azure confirme que VBS está ‘ Activado‘.
  • Selecciona la casilla ‘ Quiero licenciar este Windows Server para recibir hotpatches mensuales‘, y haz clic en Confirmar.
Enabling Hotpatch (preview) in the Azure Portal – (Image Credit: Michael Reinders/Petri.com)

El proceso de inscripción ahora comienza.

Waiting for enrollment to complete – (Image Credit: Michael Reinders/Petri.com)

Después de completar esto, deberíamos estar listos para continuar. Se espera que el servidor instale los parches normales (en diciembre) y en enero, luego ofrezca Hotpatches en febrero y marzo, hasta otro ciclo normal de parches de reinicio en abril, y así sucesivamente.

Debido a que estamos en las primeras etapas de esta nueva función en vista previa pública, no tenemos ninguna historia directa que pruebe que el hotpatching está funcionando. Después del despliegue de las actualizaciones trimestrales en enero, podemos volver a esto en febrero – los primeros hotpatches deberían ser liberados en ese momento.

Publicidad

Verificar Windows Server habilitado para hotpatching

Solo hay unos pocos métodos para determinar si un servidor está habilitado para hotpatching.

Método 1

  • En el Portal de Azure para este servidor, puedes navegar a Operaciones -> Actualizaciones, hacer clic en el botón ‘ Buscar actualizaciones‘ en la parte superior y obtener una evaluación de las actualizaciones pendientes.
  • En esta misma pantalla, la sección ‘Hotpatch‘ muestra ‘Activado.’
Verifying that Windows Server Hotpatch enabled patches are ready to go! – (Image Credit: Michael Reinders/Petri.com)

Método 2

  • En el propio servidor, cuando navegas a Actualizaciones de Windows y haces clic en Historial de actualizaciones, verás (Hotpatches) junto a los parches específicos utilizados con esta tecnología.
Hotpatch capable updates have been installed – (Image Credit: Microsoft)

Gracias por leer mi publicación sobre el Hotpatching en Windows Server. Siéntete libre de dejar un comentario o pregunta abajo.

Source:
https://petri.com/enable-windows-server-hotpatching/