启用 Windows Server 2025 热补丁:逐步指南

教程

热修补是 Windows Server 2025 中的一个强大功能,允许管理员应用安全更新和补丁而无需系统重新启动,最大程度减少停机时间,确保持续运行。本文概述了如何启用 Windows Server 2025 热修补。我们将涵盖先决条件、逐步说明、最佳实践和故障排除提示。

什么是 Windows Server 热修补?

随着组织越来越依赖 Windows Server 来管理关键业务运营,最小化停机时间变得至关重要。为支持这一需求的最新创新之一就是热修补。

广告

微软最初宣布并发布了 Windows Server 2022 虚拟机(VMs)的热修补(hotpatch)预览版,位于 Microsoft Azure(需要 Windows Server 2022 Azure 版 ISO)。随着其不断成熟,他们逐渐将其推广到更多平台和环境,包括物理服务器。热修补现在处于公共预览阶段,允许管理员在一年内减少重新启动的情况下应用安全更新和补丁。微软可能会在 2025 年某个时候将此功能发布为正式版本。

如果不清楚的话,Windows Server 2025 热补丁可以在除了Hyper-V之外的其他虚拟化平台上运行,比如VMWare,以及支持微软的面向保护性虚拟化功能称为虚拟化安全(Virtualization-Based Security, VBS)的其他平台。(后文详述)

年度热补丁安装计划

与每年十二次强制性的每月重启计划不同,热补丁只需要每年四次计划性重启。在一月、四月、七月和十月的“补丁星期二”,IT专业人员可以期待需要重启以安装月度累积更新。但在一年的其他月份,内存中的进程会通过特殊的热补丁Windows安全更新进行更新 – 安装更快,无需重启!

热补丁补丁降低了资源使用,包括安装时较少的CPU资源使用以及更小的二进制文件,使得它们更小、更快速地安装。对于IT专业人员来说,更容易的补丁编排总是受欢迎的。

广告

Windows Server 热补丁先决条件

在计划使用热补丁之前,有一些事项需要考虑。让我们看一下启用热补丁的主要先决条件:

  • Windows Server 版本

    首先,这一点要求相当严格,您需要使用 Windows Server 2025(标准版或数据中心版)。这将阻碍许多组织,但正如我所说,这一里程碑是微软逐步推出这项技术整体计划的又一个部分。

  • Internet / Azure Arc

    需要稳定可靠的互联网连接才能访问微软的 Windows 更新服务器。此外,您需要使用 Azure 连接机器代理(CMA)将 Windows Server 连接到 Azure Arc。

  • 基于虚拟化的安全性(VBS)

    基于虚拟化的安全性(VBS)对于热修补起着关键作用。VBS 使用硬件虚拟化来创建一个被称为“安全内核”的隔离环境,保护系统进程和敏感数据免受未经授权的访问。

要使热修补起作用,系统必须支持 VBS,因为热修补会更新运行中进程的内存代码,而无需重新启动。为确保这些更新能够安全可靠地应用,VBS 提供的安全内核必须正常运行。

启用 VBS

此设置应默认开启,但要验证 VBS 是否已启用:

  • 运行“msinfo32.exe”从‘开始菜单 -> 运行’或在命令提示符下。
  • 查看“系统摘要”页面上的“基于虚拟化的安全性”项。
Checking if VBS is Enabled or not… – (Image Credit: Michael Reinders/Petri.com)

看起来我需要启用它。我运行这个命令来更新注册表,然后重新启动。

广告

Reg add "HKLM\SYSTEM\ControlSet001\Control\DeviceGuard" /v "EnableVirtualizationBasedSecurity" /t REG_DWORD /d 1 /f

我再次检查了msinfo32,现在显示为“运行”。准备好继续了。

启用Windows Server 2025热补丁

  • 在Azure门户中打开服务器。
  • 然后,在“功能”部分,“热补丁(预览)”应该是最显眼的。点击它。
  • 确认Azure确认VBS为“启用”。
  • 选择复选框“我要许可此Windows Server接收每月热补丁”,然后点击确认
Enabling Hotpatch (preview) in the Azure Portal – (Image Credit: Michael Reinders/Petri.com)

现在开始注册流程。

Waiting for enrollment to complete – (Image Credit: Michael Reinders/Petri.com)

完成后,我们就可以开始了。预计服务器将在12月安装常规补丁,然后在1月安装,接着在2月和3月提供热补丁,直到4月进行另一次正常的重启补丁循环,依此类推。

由于我们现在处于公共预览中这一新功能的早期阶段,我们没有任何直接的历史记录来证明热补丁正在运行。在1月季度更新发布后,我们可以在2月回来查看情况 – 那时应该发布第一批热补丁。

广告

检查Windows Server是否启用了热补丁

确定服务器是否启用了热补丁只有几种方法。

方法1

  • 在该服务器的Azure门户中,您可以导航至操作 -> 更新,点击顶部的“检查更新”按钮,获取待处理更新的评估。
  • 在同一个屏幕上,“热修补”部分显示“已启用”。
Verifying that Windows Server Hotpatch enabled patches are ready to go! – (Image Credit: Michael Reinders/Petri.com)

方法2

  • 在服务器本身上,当您浏览 Windows 更新 并点击 更新历史,您会看到在使用这项技术的特定补丁旁边显示着(热修补)
Hotpatch capable updates have been installed – (Image Credit: Microsoft)

感谢阅读我关于 Windows Server 热修补的文章。欢迎在下方留言或提问。

Source:
https://petri.com/enable-windows-server-hotpatching/