Abilitare il Hotpatching di Windows Server 2025: Una guida passo-passo

Tutorial

Il hotpatching è una funzionalità potente in Windows Server 2025 che consente agli amministratori di applicare aggiornamenti di sicurezza e patch senza richiedere un riavvio del sistema, riducendo al minimo i tempi di inattività e garantendo un’operazione continua. Questo articolo fornisce una panoramica su come abilitare il hotpatching di Windows Server 2025. Tratteremo i prerequisiti, istruzioni passo-passo, migliori pratiche e suggerimenti per la risoluzione dei problemi.

Cosa è il hotpatching di Windows Server?

Poiché le organizzazioni fanno sempre più affidamento su Windows Server per gestire operazioni aziendali critiche, ridurre al minimo i tempi di inattività diventa essenziale. Una delle ultime innovazioni a supportare questa necessità è il hotpatching.

Pubblicità

Microsoft ha inizialmente annunciato e rilasciato un’anteprima di hotpatching (hotpatch) per macchine virtuali (VM) di Windows Server 2022 in Microsoft Azure (richiedendo ISO della Windows Server 2022 Azure Edition). Man mano che è maturato, l’hanno distribuito su più piattaforme e ambienti, inclusi server fisici. Il hotpatching, ora in anteprima pubblica, è una funzione che consente agli amministratori di applicare aggiornamenti di sicurezza e patch con meno riavvii nel corso dell’anno. Microsoft probabilmente rilascerà questa funzione per la disponibilità generale entro il 2025.

Se non è chiaro, Windows Server 2025 Hotpatching può essere eseguito su altre piattaforme di virtualizzazione oltre a Hyper-V, come VMWare, e su qualsiasi altra piattaforma che supporti la funzionalità di virtualizzazione focalizzata sulla protezione di Microsoft chiamata Virtualization-Based Security (VBS). (Maggiori dettagli di seguito)

Programma annuale di hotpatching

Al posto di pianificare dodici riavvii obbligatori mensili all’anno, l’Hotpatching offre solo quattro riavvii pianificati all’anno. Per il Patch Tuesday di gennaio, aprile, luglio e ottobre, i professionisti IT possono aspettarsi che l’aggiornamento cumulativo mensile richieda un riavvio. Ma per gli altri mesi dell’anno, i processi in memoria vengono aggiornati tramite speciali aggiornamenti di sicurezza di Windows Hotpatch – installazioni più veloci e senza necessità di riavvio!

Le patch Hotpatch hanno un utilizzo ridotto delle risorse, compreso un minor utilizzo della CPU durante l’installazione e binari più piccoli, rendendoli più piccoli e più veloci da installare. Una maggiore facilità di orchestrare le patch per i professionisti IT è sempre ben accolta.

Pubblicità

Prerequisiti per l’hotpatching di Windows Server

Ci sono alcune cose da tenere presente prima di pianificare di utilizzare l’Hotpatching. Passiamo attraverso i principali prerequisiti per abilitare l’Hotpatching:

  • Versioni di Windows Server

    Innanzitutto, e questa è piuttosto stringente, è necessario utilizzare Windows Server 2025 (edizione Standard o edizione Datacenter). Questo sarà un ostacolo per molte organizzazioni, ma come ho detto, questo traguardo è un altro dei piani complessivi di Microsoft per implementare gradualmente questa tecnologia.

  • Internet / Azure Arc

    È necessaria una connessione Internet stabile e affidabile per accedere ai server di aggiornamento di Microsoft Windows. Inoltre, sarà necessario collegare Windows Server ad Azure Arc utilizzando l’Azure Connected Machine Agent (CMA).

  • Sicurezza basata sulla virtualizzazione (VBS)

    La sicurezza basata sulla virtualizzazione (VBS) è fondamentale affinché l’hotpatching funzioni. VBS utilizza la virtualizzazione hardware per creare un ambiente isolato, noto come “kernel sicuro”, che protegge i processi di sistema e i dati sensibili dall’accesso non autorizzato.

Perché l’hotpatching funzioni, il sistema deve supportare VBS perché l’hotpatching aggiorna il codice in memoria dei processi in esecuzione senza richiedere un riavvio. Per garantire che questi aggiornamenti siano applicati in modo sicuro e corretto, il kernel sicuro fornito da VBS deve essere operativo.

Abilitare VBS

Questa impostazione dovrebbe essere attivata per impostazione predefinita, ma per verificare che VBS sia abilitato:

  • eseguire “msinfo32.exe” dal ‘Menu Start -> Esegui‘ o da un prompt dei comandi.
  • cercare la voce ‘Sicurezza basata sulla virtualizzazione‘ nella pagina Riepilogo sistema.
Checking if VBS is Enabled or not… – (Image Credit: Michael Reinders/Petri.com)

Sembra che debba abilitarlo. Eseguo questo comando per aggiornare il Registro e poi riavvio.

Pubblicità

Reg add "HKLM\SYSTEM\ControlSet001\Control\DeviceGuard" /v "EnableVirtualizationBasedSecurity" /t REG_DWORD /d 1 /f

Ho controllato di nuovo msinfo32 e l’elemento ora mostra ‘In esecuzione’. Pronto per procedere.

Attivare l’hotpatching di Windows Server 2025

  • Aprire il server nel portale di Azure.
  • Quindi, nella sezione Capacità, ‘Hotpatching (anteprima)’ dovrebbe essere ben visibile. Cliccare su di esso.
  • Verificare che Azure confermi che VBS è ‘Attivo’.
  • Selezionare la casella ‘Desidero concedere una licenza a questo Windows Server per ricevere hotpatch mensili’, e cliccare su Conferma.
Enabling Hotpatch (preview) in the Azure Portal – (Image Credit: Michael Reinders/Petri.com)

Il processo di iscrizione ora inizia.

Waiting for enrollment to complete – (Image Credit: Michael Reinders/Petri.com)

Dopo che questo sarà completato, siamo pronti per partire. Si prevede che il server installerà le patch normali (a dicembre) e a gennaio, per poi offrire hotpatch a febbraio e marzo, fino a un altro ciclo di patch di riavvio normale ad aprile, e così via.

Poiché siamo nelle prime fasi di questa nuova funzionalità in anteprima pubblica, non abbiamo alcuna storia diretta per dimostrare che l’hotpatching è attivo. Dopo il rilascio dei aggiornamenti trimestrali a gennaio, possiamo tornare su questo a febbraio – i primi hotpatch dovrebbero essere rilasciati in quel momento.

Pubblicità

Controllare se Windows Server è abilitato per l’hotpatching

Ci sono solo alcuni metodi per determinare se un server è abilitato per l’hotpatching.

Metodo 1

  • Nel portale di Azure per questo server, è possibile navigare verso Operazioni -> Aggiornamenti, cliccare sul pulsante ‘Controlla aggiornamenti’ in alto e ottenere una valutazione per gli aggiornamenti in sospeso.
  • Su questa stessa schermata, la sezione ‘Hotpatch‘ mostra ‘Abilitato.’
Verifying that Windows Server Hotpatch enabled patches are ready to go! – (Image Credit: Michael Reinders/Petri.com)

Metodo 2

  • Sul server stesso, quando si accede a Windows Update e si clicca su Cronologia aggiornamenti, si vedrà (Hotpatch) accanto ai patch specifici utilizzati con questa tecnologia.
Hotpatch capable updates have been installed – (Image Credit: Microsoft)

Grazie per aver letto il mio post su Windows Server Hotpatching. Sentiti libero di lasciare un commento o una domanda qui sotto.

Source:
https://petri.com/enable-windows-server-hotpatching/