啟用 Windows Server 2025 的熱修補:逐步指南

教學

熱修補是 Windows Server 2025 中的一個強大功能,允許管理員應用安全更新和補丁而無需系統重新啟動,從而最大程度地減少停機時間並確保持續運作。本文概述了如何啟用 Windows Server 2025 熱修補。我們將涵蓋先決條件、逐步說明、最佳實踐和疑難排解提示。

什麼是 Windows Server 熱修補?

隨著組織越來越依賴 Windows Server 來管理關鍵業務運作,最小化停機時間變得至關重要。為支持這種需求,最新的創新之一是熱修補。

廣告

微軟最初在 Microsoft Azure 上針對 Windows Server 2022 虛擬機器(VM)宣布並發布了熱修補(hotpatch)預覽版(需要 Windows Server 2022 Azure 版 ISO)。隨著其逐漸成熟,他們開始將其擴展至更多平台和環境,包括物理伺服器。熱修補現在處於公共預覽階段,這是一個功能,允許管理員在一年中較少重新啟動的情況下應用安全更新和補丁。微軟可能會在 2025 年某個時候將此功能正式發布。

如果不清楚的話,Windows Server 2025 熱補丁可以在除了Hyper-V之外的其他虛擬化平台上運行,如 VMWare,以及支持微軟的保護導向虛擬化功能稱為虛擬化安全(Virtualization-Based Security, VBS)的任何其他平台。(有關詳細信息,請參見以下)

年度熱補丁安裝計劃

與每年必須計劃進行的十二次強制性每月重新啟動不同,熱補丁僅提供每年四次計劃重新啟動。對於一月、四月、七月和十月的星期二補丁日,IT 專業人員可以預期每月累積更新需要重新啟動。但是對於一年中的其他月份,內存中的進程通過特殊的熱補丁 Windows 安全更新進行更新 – 安裝速度更快,無需重新啟動!

熱補丁補丁具有降低的資源使用,包括安裝時較少的 CPU 資源和更小的二進制文件,使它們更小且安裝速度更快。對 IT 專業人員來說,更容易的補丁協調總是受歡迎的。

廣告

Windows Server 熱補丁先決條件

在計劃使用熱補丁之前,有一些事項需要記住。讓我們一起了解啟用熱補丁的主要先決條件:

  • Windows Server 版本

    首先,這一點要求相當嚴格,您需要使用 Windows Server 2025(標準版或數據中心版)。這對許多組織來說將是一個阻礙,但正如我所說,這個里程碑是微軟逐步推出這項技術的整體計劃中的另一部分。

  • Internet / Azure Arc

    需要穩定可靠的互聯網連接才能訪問 Microsoft Windows Update 伺服器。此外,您需要使用 Azure Connected Machine Agent(CMA)連接 Windows Server 到 Azure Arc

  • 虛擬化安全(VBS)

    虛擬化安全(VBS)對於熱補丁工作至關重要。VBS 使用硬體虛擬化來創建一個被稱為“安全內核”的隔離環境,用於保護系統進程和敏感數據免受未經授權的訪問。

要使熱補丁工作,系統必須支持 VBS,因為熱補丁更新運行中進程的內存代碼而無需重新啟動。為確保這些更新得到安全和安全地應用,VBS 提供的安全內核必須運作。

啟用 VBS

此設置應默認打開,但為了驗證 VBS 是否已啟用:

  • 運行“msinfo32.exe”從“開始菜單 -> 執行”或在命令提示符下。
  • 查找“系統摘要”頁面上的“基於虛擬化的安全”項目。
Checking if VBS is Enabled or not… – (Image Credit: Michael Reinders/Petri.com)

看起來我需要啟用它。我運行此命令來更新註冊表,然後重新啟動。

廣告

Reg add "HKLM\SYSTEM\ControlSet001\Control\DeviceGuard" /v "EnableVirtualizationBasedSecurity" /t REG_DWORD /d 1 /f

我再次檢查了msinfo32,項目現在顯示為“執行中”。準備好繼續了。

啟用 Windows Server 2025 熱補丁

  • 在 Azure Portal 中打開伺服器。
  • 然後,在功能部分,“熱補丁(預覽版)”應該是首要的。點擊它。
  • 確認 Azure 確認 VBS 為“啟用”。
  • 選擇勾選框“我想要許可此 Windows Server 接收每月熱補丁”,然後點擊 確認
Enabling Hotpatch (preview) in the Azure Portal – (Image Credit: Michael Reinders/Petri.com)

現在開始註冊流程。

Waiting for enrollment to complete – (Image Credit: Michael Reinders/Petri.com)

完成後,我們應該準備就緒。預計伺服器將在12月安裝正常補丁,然後在1月提供熱補丁,直到4月進行另一個正常的重新啟動補丁週期,依此類推。

由於我們在此新功能的公開預覽版的早期階段,我們沒有直接的歷史記錄來證明熱補丁正在運行。在1月季度更新推出後,我們可以在2月回來檢查 – 那時應該會釋出第一批熱補丁。

廣告

檢查啟用熱補丁的 Windows Server

只有一些方法可以確定伺服器是否已啟用熱補丁。

方法1

  • 在此伺服器的 Azure Portal 中,您可以進入 運作 -> 更新,點擊頂部的“檢查更新”按鈕,並獲得有關待處理更新的評估。
  • 在同一個畫面上,“熱補丁”部分顯示為“已啟用”。
Verifying that Windows Server Hotpatch enabled patches are ready to go! – (Image Credit: Michael Reinders/Petri.com)

方法2

  • 在伺服器本身上,當您瀏覽Windows 更新並點擊更新歷史時,您將看到與這項技術一起使用的特定補丁旁邊標有(熱補丁)
Hotpatch capable updates have been installed – (Image Credit: Microsoft)

感謝您閱讀我關於 Windows Server 熱補丁的文章。請隨時在下方留言或提問。

Source:
https://petri.com/enable-windows-server-hotpatching/