Ativar Hotpatching do Windows Server 2025: Um Guia Passo a Passo

Tutoriais

O hotpatching é um recurso poderoso no Windows Server 2025 que permite aos administradores aplicar atualizações de segurança e patches sem a necessidade de reiniciar o sistema, minimizando o tempo de inatividade e garantindo a operação contínua. Este artigo fornece uma visão geral de como habilitar o Hotpatching do Windows Server 2025. Abordaremos os pré-requisitos, instruções passo a passo, melhores práticas e dicas de solução de problemas.

O que é hotpatching do Windows Server?

À medida que as organizações dependem cada vez mais do Windows Server para gerenciar operações comerciais críticas, minimizar o tempo de inatividade se torna essencial. Uma das últimas inovações para atender a essa necessidade é o hotpatching.

Anúncio

A Microsoft anunciou e lançou inicialmente uma visualização de hotpatching (hotpatch) para máquinas virtuais (VMs) do Windows Server 2022 no Microsoft Azure (exigindo ISOs da Edição Azure do Windows Server 2022). Conforme amadureceu, eles têm implementado em mais plataformas e ambientes, incluindo servidores físicos. O hotpatching, agora em visualização pública, é um recurso que permite aos administradores aplicar atualizações de segurança e patches com menos reinicializações ao longo do ano. A Microsoft provavelmente lançará este recurso para disponibilidade geral em algum momento de 2025.

Caso não esteja claro, o Windows Server 2025 Hotpatching pode ser executado em outras plataformas de virtualização além do Hyper-V, como VMWare, e em qualquer outra plataforma que suporte o recurso de virtualização focado na proteção da Microsoft chamado Virtualization-Based Security (VBS). (Mais sobre isso abaixo)

Cronograma anual de hotpatching

Em vez de planejar em torno de doze reinicializações mensais obrigatórias por ano, o Hotpatching oferece apenas quatro reinicializações planejadas por ano. Para a Patch Tuesday em janeiro, abril, julho e outubro, os Profissionais de TI podem esperar que a atualização cumulativa mensal exija uma reinicialização. Mas nos outros meses do ano, os processos em memória são atualizados por meio de atualizações de segurança especiais do Windows Hotpatch – instalações mais rápidas e sem reinicialização necessária!

Os patches de Hotpatch vêm com uso reduzido de recursos, incluindo menos recursos da CPU durante a instalação e binários menores, tornando-os menores e mais rápidos de instalar. Orquestração de patches mais fácil para os Profissionais de TI é sempre bem-vinda.

Publicidade

Pré-requisitos do hotpatching do Windows Server

Há algumas coisas a ter em mente antes de planejar usar o Hotpatching. Vamos passar pelos principais pré-requisitos para habilitar o Hotpatching:

  • Versões do Windows Server

    Primeiramente, e isso é bastante rigoroso, você precisa usar o Windows Server 2025 (Edição Standard ou Edição Datacenter). Isso será um obstáculo para muitas organizações, mas como eu disse, este marco é mais um dos planos gerais da Microsoft para implementar gradualmente essa tecnologia.

  • Internet / Azure Arc

    Uma conexão com a Internet estável e confiável é necessária para acessar os servidores de atualização do Windows da Microsoft. Além disso, você precisará conectar o Windows Server ao Azure Arc usando o Agente de Máquina Conectada da Azure (CMA).

  • Segurança Baseada em Virtualização (VBS)

    A Segurança Baseada em Virtualização (VBS) é fundamental para o Hotpatching funcionar. O VBS utiliza virtualização de hardware para criar um ambiente isolado, conhecido como “kernel seguro”, que protege os processos do sistema e dados sensíveis contra acessos não autorizados.

Para o hotpatching funcionar, o sistema deve suportar o VBS, pois o hotpatching atualiza o código na memória dos processos em execução sem a necessidade de reinicialização. Para garantir que essas atualizações sejam aplicadas de forma segura, o kernel seguro fornecido pelo VBS deve estar operacional.

Ativar VBS

Essa configuração deve estar ativada por padrão, mas para verificar se o VBS está habilitado:

  • execute “msinfo32.exe” no ‘Menu Iniciar -> Executar’ ou em um prompt de comando.
  • procure pelo item ‘Segurança Baseada em Virtualização’ na página de Resumo do Sistema.
Checking if VBS is Enabled or not… – (Image Credit: Michael Reinders/Petri.com)

Parece que preciso habilitá-lo. Eu executo este comando para atualizar o Registro e então reiniciar.

Anúncio

Reg add "HKLM\SYSTEM\ControlSet001\Control\DeviceGuard" /v "EnableVirtualizationBasedSecurity" /t REG_DWORD /d 1 /f

Verifiquei novamente o msinfo32 e o item agora mostra como ‘Executando’. Pronto para prosseguir.

Ativar hotpatching do Windows Server 2025

  • Abra o servidor no Portal do Azure.
  • Em seguida, na seção Capacidades, ‘Hotpatching (visualização)‘ deve estar em destaque. Clique nele.
  • Verifique se o Azure confirma que o VBS está ‘Ativado‘.
  • Marque a caixa de seleção ‘Quero licenciar este Windows Server para receber hotpatches mensais‘ e clique em Confirmar.
Enabling Hotpatch (preview) in the Azure Portal – (Image Credit: Michael Reinders/Petri.com)

O processo de inscrição agora começa.

Waiting for enrollment to complete – (Image Credit: Michael Reinders/Petri.com)

Após isso estar completo, estaremos prontos para prosseguir. O servidor deve instalar os patches normais (em dezembro) e janeiro, em seguida, oferecer hotpatches em fevereiro e março, até outro ciclo de patch de reinicialização normal em abril, e assim por diante.

Como estamos nas fases iniciais desta nova funcionalidade em visualização pública, não temos nenhum histórico direto para comprovar que o hotpatching está em execução. Após a implementação das atualizações trimestrais em janeiro, podemos retornar a isso em fevereiro – os primeiros hotpatches devem ser lançados nesse momento.

Anúncio

Verificar se o Windows Server está habilitado para hotpatching

Há apenas alguns métodos para determinar se um servidor está habilitado para hotpatching.

Método 1

  • No Portal do Azure para este servidor, você pode navegar até Operações -> Atualizações, clicar no botão ‘Verificar atualizações‘ no topo e obter uma avaliação para atualizações pendentes.
  • Na mesma tela, a seção ‘Hotpatch‘ mostra ‘Ativado‘.
Verifying that Windows Server Hotpatch enabled patches are ready to go! – (Image Credit: Michael Reinders/Petri.com)

Método 2

  • No próprio servidor, ao acessar Atualizações do Windows e clicar em Histórico de Atualizações, você verá (Hotpatches) ao lado dos patches específicos usados com essa tecnologia.
Hotpatch capable updates have been installed – (Image Credit: Microsoft)

Obrigado por ler meu post sobre Hotpatching no Windows Server. Sinta-se à vontade para deixar um comentário ou pergunta abaixo.

Source:
https://petri.com/enable-windows-server-hotpatching/