Windows Server 2025のホットパッチングを有効にする方法:ステップバイステップガイド

チュートリアル

Windows Server 2025 でのホットパッチングは、システムの再起動を必要とせずにセキュリティ更新プログラムやパッチを適用できる強力な機能であり、ダウンタイムを最小限に抑え、連続した運用を確保します。この記事では、Windows Server 2025 のホットパッチングを有効にする方法について概説します。必要条件、手順、ベストプラクティス、トラブルシューティングのヒントについて説明します。

Windows Server ホットパッチングとは何ですか?

組織が重要なビジネス運用を管理するために Windows Server にますます依存する中、ダウンタイムの最小化が不可欠となります。このニーズをサポートする最新のイノベーションの1つがホットパッチングです。

広告

Microsoft は最初に、Windows Server 2022 の仮想マシン(VM)向けにホットパッチ(ホットパッチ)プレビューを発表およびリリースしました(Windows Server 2022 Azure Edition ISO が必要)。機能が成熟するにつれて、物理サーバーを含むさまざまなプラットフォームや環境に展開されています。ホットパッチングは、現在パブリックプレビュー中で、管理者が年間を通じて再起動を少なくしてセキュリティ更新プログラムやパッチを適用できる機能です。Microsoft はおそらく、この機能を2025年中に一般利用可能にリリースするでしょう。

わかりにくい場合は、Windows Server 2025 Hotpatching は、Hyper-Vの他にもVMWareなど、Microsoftの保護重視の仮想化機能であるVirtualization-Based Security(VBS)をサポートする他の仮想化プラットフォームで実行できます。 (以下に詳細があります)

年間ホットパッチスケジュール

1年間に12回の必須の月次再起動を予定する代わりに、Hotpatchingでは年にたった4回の計画された再起動が提供されます。 1月、4月、7月、10月のPatch Tuesdayには、ITプロは月次累積更新プログラムが再起動を必要とすることが予想されます。 ただし、年間の他の月では、インメモリプロセスは特別なHotpatch Windowsセキュリティ更新プログラムを介して更新されます – より迅速なインストールで再起動は必要ありません!

Hotpatchパッチは、インストール中のCPUリソースを含むリソースの使用を減らし、より小さなバイナリを備えており、これにより小さく、迅速にインストールできます。 ITプロ向けのパッチのオーケストレーションが容易になるのは常に歓迎されることです。

広告

Windows Serverホットパッチングの前提条件

Hotpatchingを使用する計画を立てる前に考慮すべき点がいくつかあります。 Hotpatchingを有効にするための主要な前提条件について見ていきましょう:

  • Windows Serverのバージョン

    まず、これはかなり厳密ですが、Windows Server 2025(標準エディションまたはデータセンターエディション)を使用する必要があります。これは多くの組織にとって障害となるでしょうが、このマイルストーンはマイクロソフトの全体的な計画の一環としてこのテクノロジーを段階的に展開すると述べた通りです。

  • インターネット/Azure Arc

    Microsoft Windows Update サーバーにアクセスするには安定した信頼性の高いインターネット接続が必要です。また、Azure Connected Machine Agent(CMA)を使用して Windows Server を Azure Arc に接続する必要があります。

  • 仮想化ベースセキュリティ(VBS)

    Hotpatching が機能するためには仮想化ベースセキュリティ(VBS)が重要です。 VBS はハードウェア仮想化を使用して、「セキュアカーネル」として知られるシステムプロセスと機密データを不正アクセスから保護する分離された環境を作成します。

hotpatching が機能するためには、システムが VBS をサポートしている必要があります。なぜなら、hotpatching は再起動を必要とせずに実行中のプロセスのメモリ内のコードを更新するからです。これらの更新が安全かつ確実に適用されるようにするには、VBS によって提供されるセキュアカーネルが動作している必要があります。

VBS を有効にする

この設定はデフォルトでオンになっているはずですが、VBS が有効であることを確認するには:

  • msinfo32.exe」を ‘「スタートメニュー -> 実行」’ またはコマンドプロンプトから実行します。
  • システムの概要ページで ‘「仮想化ベースセキュリティ」’ 項目を探します。
Checking if VBS is Enabled or not… – (Image Credit: Michael Reinders/Petri.com)

有効にする必要があるようです。このコマンドを実行してレジストリを更新し、その後再起動します。

広告

Reg add "HKLM\SYSTEM\ControlSet001\Control\DeviceGuard" /v "EnableVirtualizationBasedSecurity" /t REG_DWORD /d 1 /f

再度msinfo32を確認したところ、項目が「実行中」と表示されました。進める準備ができました。

Windows Server 2025のホットパッチを有効にする

  • Azureポータルでサーバーを開きます。
  • 次に、機能セクションの「ホットパッチ(プレビュー)」が中央に表示されるはずです。それをクリックします。
  • AzureがVBSが「オン」であることを確認することを検証します。
  • このWindows Serverをライセンスして、月次ホットパッチを受け取ることを希望します」のチェックボックスを選択し、確認をクリックします。
Enabling Hotpatch (preview) in the Azure Portal – (Image Credit: Michael Reinders/Petri.com)

これで、登録のプロセスが始まります。

Waiting for enrollment to complete – (Image Credit: Michael Reinders/Petri.com)

これが完了すれば、準備は整います。サーバーは、通常のパッチを12月と1月にインストールし、その後、2月と3月にホットパッチを提供し、4月に別の通常の再起動パッチサイクルが続く予定です。

この新しい機能が公開プレビューの初期段階にあるため、ホットパッチが実行中であることを証明する直接的な履歴はありません。1月に四半期更新が展開された後、2月にこれを再確認できます – 最初のホットパッチはその時にリリースされるはずです。

広告

ホットパッチが有効なWindows Serverを確認する

サーバーがホットパッチに対応しているかを確認する方法は数種類あります。

方法1

  • このサーバーのAzureポータルで、操作 -> 更新に移動し、上部の「更新プログラムを確認」ボタンをクリックすると、保留中の更新プログラムの評価が得られます。
  • 同じ画面で、「Hotpatch」セクションには「有効」と表示されます。
Verifying that Windows Server Hotpatch enabled patches are ready to go! – (Image Credit: Michael Reinders/Petri.com)

方法2

  • サーバー自体で、Windows Updatesにアクセスし、Update Historyをクリックすると、この技術で使用された特定のパッチの横に「(Hotpatches)」と表示されます。
Hotpatch capable updates have been installed – (Image Credit: Microsoft)

Windows Server Hotpatchingに関する私の投稿をお読みいただきありがとうございます。コメントや質問をお気軽にお寄せください。

Source:
https://petri.com/enable-windows-server-hotpatching/