Activer le Hotpatching Windows Server 2025 : Un guide étape par étape

Tutoriels

Hotpatching est une fonctionnalité puissante dans Windows Server 2025 qui permet aux administrateurs d’appliquer des mises à jour de sécurité et des correctifs sans nécessiter de redémarrage du système, réduisant ainsi les temps d’arrêt et garantissant un fonctionnement continu. Cet article fournit un aperçu de la façon d’activer le Hotpatching Windows Server 2025. Nous aborderons les prérequis, les instructions étape par étape, les meilleures pratiques et les conseils de dépannage.

Qu’est-ce que le hotpatching Windows Server?

Alors que les organisations dépendent de plus en plus de Windows Server pour gérer leurs opérations commerciales critiques, la réduction des temps d’arrêt devient essentielle. L’une des dernières innovations pour répondre à ce besoin est le hotpatching.

Publicité

Microsoft a initialement annoncé et publié un aperçu du hotpatching (hotpatch) pour les machines virtuelles (VM) Windows Server 2022 dans Microsoft Azure (nécessitant des ISO de l’édition Azure de Windows Server 2022). À mesure qu’il a mûri, ils l’ont déployé sur plus de plates-formes et d’environnements, y compris les serveurs physiques. Le hotpatching, désormais en préversion publique, est une fonctionnalité qui permet aux administrateurs d’appliquer des mises à jour de sécurité et des correctifs avec moins de redémarrages tout au long de l’année. Microsoft devrait probablement rendre cette fonctionnalité généralement disponible quelque part en 2025.

Au cas où cela ne serait pas clair, Windows Server 2025 Hotpatching peut être exécuté sur d’autres plateformes de virtualisation que Hyper-V, comme VMWare, et sur d’autres plateformes prenant en charge la fonctionnalité de virtualisation axée sur la protection de Microsoft appelée Sécurité basée sur la virtualisation (VBS). (Plus d’informations ci-dessous)

Calendrier annuel de hotpatching

Au lieu de planifier douze redémarrages mensuels obligatoires par an, le Hotpatching propose seulement quatre redémarrages planifiés par an. Pour le Patch Tuesday de janvier, avril, juillet et octobre, les professionnels de l’informatique peuvent s’attendre à ce que la mise à jour cumulative mensuelle nécessite un redémarrage. Mais pour les autres mois de l’année, les processus en mémoire sont mis à jour via des mises à jour de sécurité spéciales Hotpatch Windows – installations plus rapides et aucun redémarrage requis !

Les correctifs Hotpatch sont accompagnés d’une utilisation réduite des ressources, y compris moins de ressources CPU lors de l’installation, et de binaires plus petits, les rendant plus petits et plus rapides à installer. Une orchestration de correctifs plus facile pour les professionnels de l’informatique est toujours la bienvenue.

Publicité

Prérequis du hotpatching de Windows Server

Il y a quelques points à garder à l’esprit avant de planifier l’utilisation du Hotpatching. Passons en revue les principaux prérequis pour activer le Hotpatching :

  • Versions de Windows Server

    Tout d’abord, et cela est assez strict, vous devez utiliser Windows Server 2025 (édition Standard ou édition Datacenter). Cela sera un obstacle pour de nombreuses organisations, mais comme je l’ai dit, cette étape est l’un des nombreux plans globaux de Microsoft pour déployer progressivement cette technologie.

  • Internet / Azure Arc

    Une connexion Internet stable et fiable est requise pour accéder aux serveurs de mise à jour de Microsoft Windows. De plus, vous devrez connecter Windows Server à Azure Arc en utilisant l’Agent de Machine Connecté Azure (CMA).

  • Sécurité basée sur la virtualisation (VBS)

    La sécurité basée sur la virtualisation (VBS) est cruciale pour que le Hotpatching fonctionne. VBS utilise la virtualisation matérielle pour créer un environnement isolé, connu sous le nom de « noyau sécurisé », qui protège les processus système et les données sensibles contre l’accès non autorisé.

Pour que le hotpatching fonctionne, le système doit prendre en charge VBS car le hotpatching met à jour le code en mémoire des processus en cours d’exécution sans nécessiter de redémarrage. Pour garantir que ces mises à jour sont appliquées de manière sécurisée et sûre, le noyau sécurisé fourni par VBS doit être opérationnel.

Activer VBS

Ce paramètre devrait être activé par défaut, mais pour vérifier que VBS est activé :

  • exécutez “msinfo32.exe” depuis le ‘Menu Démarrer -> Exécuter‘ ou à l’invite de commande.
  • cherchez l’élément ‘Sécurité basée sur la virtualisation‘ sur la page Résumé du Système.
Checking if VBS is Enabled or not… – (Image Credit: Michael Reinders/Petri.com)

On dirait que je dois l’activer. J’exécute cette commande pour mettre à jour le Registre puis redémarrer.

Publicité

Reg add "HKLM\SYSTEM\ControlSet001\Control\DeviceGuard" /v "EnableVirtualizationBasedSecurity" /t REG_DWORD /d 1 /f

J’ai vérifié à nouveau msinfo32 et l’élément affiche désormais « En cours d’exécution ». Prêt à continuer.

Activer le hotpatching de Windows Server 2025

  • Ouvrez le serveur dans le Portail Azure.
  • Ensuite, sous la section Capacités, « Hotpatching (aperçu) » devrait être mis en avant. Cliquez dessus.
  • Vérifiez qu’Azure confirme que VBS est « Activé ».
  • Sélectionnez la case à cocher « Je veux souscrire une licence pour recevoir des hotpatches mensuels sur ce serveur Windows » et cliquez sur Confirmer.
Enabling Hotpatch (preview) in the Azure Portal – (Image Credit: Michael Reinders/Petri.com)

Le processus d’inscription démarre maintenant.

Waiting for enrollment to complete – (Image Credit: Michael Reinders/Petri.com)

Une fois cela terminé, nous devrions être prêts. Le serveur devrait installer les mises à jour normales (en décembre) et janvier, puis proposer des hotpatches en février et mars, jusqu’à un autre cycle de mises à jour de redémarrage normal en avril, et ainsi de suite.

Étant donné que nous sommes aux premiers stades de cette nouvelle fonctionnalité en préversion publique, nous n’avons pas d’historique direct pour prouver que le hotpatching est en cours. Après le déploiement des mises à jour trimestrielles en janvier, nous pourrons revenir sur ce point en février – les premiers hotpatches devraient être publiés à ce moment-là.

Publicité

Vérifiez si le hotpatching est activé sur Windows Server

Il existe seulement quelques méthodes pour déterminer si un serveur est activé pour le hotpatching.

Méthode 1

  • Dans le Portail Azure pour ce serveur, vous pouvez accéder à Opérations -> Mises à jour, cliquer sur le bouton « Vérifier les mises à jour » en haut, et obtenir une évaluation des mises à jour en attente.
  • Sur cet écran, la section ‘Hotpatch‘ indique ‘Activé.’
Verifying that Windows Server Hotpatch enabled patches are ready to go! – (Image Credit: Michael Reinders/Petri.com)

Méthode 2

  • Sur le serveur lui-même, lorsque vous accédez à Mises à jour Windows et cliquez sur Historique des mises à jour, vous verrez (Hotpatches) à côté des correctifs spécifiques utilisés avec cette technologie.
Hotpatch capable updates have been installed – (Image Credit: Microsoft)

Merci d’avoir lu mon post sur le Hotpatching de Windows Server. N’hésitez pas à laisser un commentaire ou une question ci-dessous.

Source:
https://petri.com/enable-windows-server-hotpatching/