Включение горячего патчинга Windows Server 2025: пошаговое руководство

Учебники

Горячая установка патчей (hotpatching) — это мощная функция в Windows Server 2025, которая позволяет администраторам применять обновления безопасности и патчи без перезагрузки системы, минимизируя время простоя и обеспечивая непрерывную работу. В этой статье представлен обзор того, как включить горячую установку патчей в Windows Server 2025. Мы рассмотрим предварительные требования, пошаговые инструкции, лучшие практики и советы по устранению неполадок.

Что такое горячая установка патчей в Windows Server?

Поскольку организации все больше полагаются на Windows Server для управления критически важными бизнес-операциями, минимизация времени простоя становится необходимой. Одним из последних нововведений для поддержки этой потребности является горячая установка патчей.

Реклама

Microsoft изначально анонсировала и выпустила предварительную версию горячей установки патчей (hotpatch) для виртуальных машин (VM) Windows Server 2022 в Microsoft Azure (требуются ISO-образы Windows Server 2022 Azure Edition). С течением времени они начали внедрять эту функцию на большее количество платформ и сред, включая физические серверы. Горячая установка патчей, находящаяся сейчас в публичной предварительной версии, — это функция, которая позволяет администраторам применять обновления безопасности и патчи с меньшим количеством перезагрузок в течение года. Microsoft, вероятно, выпустит эту функцию для общего доступа в 2025 году.

В случае если это не очевидно, Windows Server 2025 Hotpatching может работать на других платформах виртуализации помимо Hyper-V, таких как VMWare, и на любых других платформах, поддерживающих функцию виртуализации Microsoft, называемую Virtualization-Based Security (VBS). (Подробнее об этом ниже)

Ежегодное расписание горячего патчинга

Вместо планирования двенадцати обязательных ежемесячных перезагрузок в году, Hotpatching предлагает всего четыре запланированных перезагрузки в году. На вторник обновлений в январе, апреле, июле и октябре IT-специалисты могут ожидать, что ежемесячное накопительное обновление потребует перезагрузки. Но для остальных месяцев в году процессы в памяти обновляются с помощью специальных обновлений безопасности Hotpatch Windows – установка происходит быстрее и перезагрузка не требуется!

Патчи Hotpatch поставляются с уменьшенным использованием ресурсов, включая меньшее использование процессора во время установки и меньшие двоичные файлы, что делает их меньшими и быстрее устанавливаемыми. Более простая оркестрация патчей для IT-специалистов всегда приветствуется.

Реклама

Требования для горячего патчинга Windows Server

Есть несколько вещей, о которых стоит помнить перед тем, как планировать использование Hotpatching. Давайте рассмотрим основные предпосылки для включения Hotpatching:

  • Версии Windows Server

    Во-первых, и это довольно строго, вам нужно использовать Windows Server 2025 (стандартное издание или издание Datacenter). Это станет преградой для многих организаций, но, как я уже сказал, этот этап является еще одним из общих планов Microsoft по постепенному внедрению этой технологии.

  • Интернет / Azure Arc

    Для доступа к серверам обновлений Microsoft Windows необходимо стабильное и надежное подключение к Интернету. Кроме того, вам понадобится подключить Windows Server к Azure Arc с использованием агента Azure Connected Machine (CMA).

  • Безопасность на основе виртуализации (VBS)

    Безопасность на основе виртуализации (VBS) критически важна для работы Hotpatching. VBS использует аппаратную виртуализацию для создания изолированной среды, известной как “безопасное ядро”, которая защищает системные процессы и чувствительные данные от несанкционированного доступа.

Для работы hotpatching система должна поддерживать VBS, поскольку hotpatching обновляет код в памяти работающих процессов без необходимости перезагрузки. Чтобы обеспечить безопасность и надежность применения этих обновлений, безопасное ядро, предоставляемое VBS, должно быть активным.

Включение VBS

Этот параметр должен быть включен по умолчанию, но для проверки активации VBS выполните следующее:

  • запустите ” msinfo32.exe ” из меню ” Пуск -> Выполнить ” или в командной строке.
  • найдите пункт ” Безопасность на основе виртуализации ” на странице ” System Summary “.
Checking if VBS is Enabled or not… – (Image Credit: Michael Reinders/Petri.com)

Похоже, мне нужно его включить. Я запускаю эту команду для обновления реестра и затем перезагружаюсь.

Реклама

Reg add "HKLM\SYSTEM\ControlSet001\Control\DeviceGuard" /v "EnableVirtualizationBasedSecurity" /t REG_DWORD /d 1 /f

Я снова проверил msinfo32, и теперь пункт отображается как «Запущен». Готов продолжить.

Включите горячие исправления для Windows Server 2025

  • Откройте сервер в портале Azure.
  • Затем в разделе «Возможности» должно быть выделено «Горячие исправления (предварительная версия)». Нажмите на него.
  • Убедитесь, что Azure подтверждает, что VBS включен – «Включено».
  • Выберите флажок «Я хочу лицензировать этот сервер Windows для получения ежемесячных горячих исправлений» и нажмите Подтвердить.
Enabling Hotpatch (preview) in the Azure Portal – (Image Credit: Michael Reinders/Petri.com)

Процесс регистрации начнется.

Waiting for enrollment to complete – (Image Credit: Michael Reinders/Petri.com)

После завершения этого процесса мы можем приступать. Ожидается, что сервер установит обычные исправления (в декабре) и январе, а затем предложит горячие исправления в феврале и марте, пока не начнется новый цикл обычных перезапусков в апреле и так далее.

Поскольку мы находимся на начальном этапе этой новой функции в общедоступной предварительной версии, у нас нет прямой истории, подтверждающей, что горячие исправления работают. После выпуска квартальных обновлений в январе мы сможем вернуться к этому в феврале – первые горячие исправления должны быть выпущены к этому времени.

Реклама

Проверьте, включено ли горячее исправление для Windows Server

Существует всего несколько способов определить, включено ли горячее исправление для сервера.

Метод 1

  • В портале Azure для этого сервера вы можете перейти к разделу Операции -> Обновления, нажать кнопку «Проверить наличие обновлений» вверху и получить оценку ожидающих обновлений.
  • На этом же экране раздел ‘Hotpatch‘ показывает ‘Включено’.
Verifying that Windows Server Hotpatch enabled patches are ready to go! – (Image Credit: Michael Reinders/Petri.com)

Метод 2

  • На самом сервере, когда вы заходите в раздел Обновления Windows и кликаете по История обновлений, вы увидите (Hotpatches) рядом с конкретными патчами, используемыми с этой технологией.
Hotpatch capable updates have been installed – (Image Credit: Microsoft)

Спасибо за прочтение моего поста о Горячем патчинге в Windows Server. Не стесняйтесь оставить комментарий или вопрос ниже.

Source:
https://petri.com/enable-windows-server-hotpatching/