Hotpatching in Windows Server: guida pratica, ciclo, costi e orchestrazione

In ambienti in cui il servizio non può interrompersi nemmeno per un secondo, hotpatching in Windows server È diventato un vantaggio fondamentale: consente di applicare patch di sicurezza del sistema senza arrestare i processi o riavviare il computer. Questa tecnica aggiorna il codice caricato in memoria dei processi già in esecuzione, velocizzando così le finestre di manutenzione e riducendo l'impatto sulla produzione.

Oltre alla comodità, questa capacità fornisce vantaggi in termini di sicurezza e conformitàPacchetti leggeri che si installano più velocemente, riducono l'utilizzo di CPU e disco durante il ciclo di patch e riducono il tempo di esposizione alle vulnerabilità. Grazie al supporto per Azure Update Manager e Azure Arc, l'orchestrazione si integra nelle operazioni esistenti, rafforzando la resilienza dell'ecosistema Windows sia nel cloud che in locale.

Che cosa è l'hotpatching e perché è importante?

Hotpatch Si tratta di una forma di manutenzione che applica le correzioni al sistema operativo direttamente in memoria. Nella maggior parte dei casi, non richiede il riavvio dei servizi o del server affinché la patch abbia effetto, con conseguente riduzione delle interruzioni e maggiore continuità aziendale. Questa idea non è nuova per Microsoft (è già stata introdotta in Windows Server Azure Edition e altre piattaforme), ma ora si sta estendendo a Di Windows Server 2025 scenari già connessi ad Azure Arc.

Non fermando i processi, le applicazioni continuano a funzionare senza interruzioni mentre vengono risolte le falle di sicurezza. I pacchetti hotpatch sono più piccoli dei tradizionali aggiornamenti cumulativi, quindi occupano meno larghezza di banda e vengono distribuiti rapidamente. In combinazione con meccanismi di orchestrazione come Azure Update Manager, i team IT possono applicare le patch seguendo i principi dell'elevata disponibilità.

Questo approccio riduce il numero di riavvii richiesti all'anno. In un ciclo normale, Solo quattro mesi richiedono un riavvio (baseline trimestrali) e il resto viene risolto tramite hotpatch. Quando si verifica un caso zero-day o un altro caso eccezionale, è possibile rilasciare una baseline non pianificata che richiede un riavvio, sostituendo la hotpatch rilasciata per quel mese.

È importante essere chiari sulla portata: Hotpatch copre gli aggiornamenti di sicurezza di WindowsAggiornamenti non di sicurezza, driver, firmware o aggiornamenti .NET non sono inclusi nel programma. Per questi e per ogni nuova baseline, sarà necessario un riavvio all'intervallo specificato.

Piattaforme supportate e scenari di distribuzione

Il supporto per le hotpatch varia in base all'ambiente. In Azure e Azure On-Premises sono disponibili immagini specifiche. Windows Server 2022/2025 Azure Edition L'hanno preparato. Usare l'immagine giusta è fondamentale per godersi l'esperienza con il minimo sforzo, soprattutto se si desidera automatizzare su larga scala.

Per le macchine in Azure, queste combinazioni di publisher, offerta e SKU supportano hotpatch su Windows Server 2022 e 2025 (su Azure e Azure Local se compilate con queste immagini). Scegliere lo SKU giusto evitare sorprese nell'orchestrazione:

Publisher	Offerta	SKU
Microsoft Windows Server	Server Windows	Edizione Core di Azure per Datacenter 2022
Microsoft Windows Server	Server Windows	Edizione Azure Datacenter 2022 Core Smalldisk
Microsoft Windows Server	Server Windows	Hotpatch per Datacenter Azure Edition 2022
Microsoft Windows Server	Server Windows	2022-Datacenter-Azure-Edition-Hotpatch-smalldisk
Microsoft Windows Server	Server Windows	Edizione Azure per Datacenter 2025
Microsoft Windows Server	Server Windows	Edizione Azure per data center 2025, smalldisk
Microsoft Windows Server	Server Windows	Edizione Core di Azure per Datacenter 2025
Microsoft Windows Server	Server Windows	Edizione Azure Datacenter 2025 Core Smalldisk

nei sistemi connesso ad Azure Arc (In locale o in altri cloud), Windows Server 2025 può ricevere hotpatch se la funzionalità è abilitata tramite il portale Arc e gestita con Azure Update Manager. In questi casi, è essenziale soddisfare i requisiti tecnici (in particolare VBS attivo) affinché il servizio possa distribuire gli aggiornamenti senza dover riavviare.

Ciclo di rilascio: mesi di base e hotpatch

Hotpatch funziona su una "baseline" che viene aggiornata ogni tre mesi con l'aggiornamento cumulativo più recente. Dopo ogni linea di base Arrivano due mesi di periodi caldi. Ad esempio: baseline a gennaio, periodo caldo a febbraio e marzo. Questo schema si ripete per quattro trimestri.

quarto	Baseline (riavvio)	Hotpatch (senza riavvio)
1	Gennaio	Febbraio e marzo
2	Aprile	Maggio e giugno
3	luglio	Agosto e settembre
4	ottobre	Novembre e dicembre

Esistono due tipi di linee di base. La pianificato Seguono questa cadenza trimestrale e apportano tutte le correzioni paragonabili all'aggiornamento cumulativo mensile. Richiedono un riavvio. non pianificato Compaiono in risposta a incidenti significativi (ad esempio uno zero-day) che non possono essere risolti con una hot patch; in quel mese, sostituiscono la hot release e comportano anche un riavvio.

Durante i mesi di hotpatch, gli aggiornamenti di sicurezza sono equivalenti a quelli del canale normale. Windows Update, Ma vengono applicati in memoriaL'assenza di un riavvio non compromette le prestazioni o la funzionalità della patch stessa. Tuttavia, per rimanere aggiornati sulle modifiche non di sicurezza, è essenziale installare periodicamente nuove baseline e riavviare.

Sono esclusi dal programma hot patch e pertanto richiedono un riavvio durante i mesi di hot patch: Aggiornamenti non di sicurezza di Windows, patch .NET ed elementi non Windows (driver, firmware, ecc.).

Strumenti di orchestrazione e amministrazione

Hotpatch si integra con Windows Update e con i consueti strumenti di gestione, sebbene il flusso esatto dipenda dalla piattaforma. In Azure, le VM create con un'immagine supportata abilitano l'applicazione di patch guest per impostazione predefinita e scaricano e installano automaticamente gli aggiornamenti critici e di sicurezza, preferibilmente durante le ore non di punta in base al fuso orario della macchina.

Azure applica un approccio ad alta disponibilità, monitora lo stato della VM e rileva errori nel processo di patching utilizzando segnali di piattaforma. In Azure Local e Arc, l'orchestrazione può essere supportata da Azure Update Manager, nonché da Criteri di gruppo, SCONFIG per Server Core o soluzioni di terze parti.

Per visualizzare lo stato di applicazione delle patch su una macchina virtuale di Azure, è sufficiente andare su Panoramica e immettere Operazioni > Aggiornamenti. Questa vista mostra gli aggiornamenti consigliati, lo stato delle hotpatch e, se applicabile, un elenco delle patch al di fuori delle categorie critiche o di sicurezza che non vengono installate automaticamente. Da questa vista, è possibile Vota ora e avviare anche un'installazione su richiesta, con l'avvertenza che un'applicazione manuale potrebbe non rispettare i principi di disponibilità e richiedere un riavvio.

Sul server stesso, puoi controllare cosa è stato applicato con PowerShell utilizzando il cmdlet Get-HotFixe sui computer con Esperienza Desktop nel menu Impostazioni. È importante notare che Hotpatch non supporta il rollback automatico: Se si verifica un problema, sarà necessario disinstallare l'ultima hotpatch e installare l'ultima baseline funzionante, il che richiederà un riavvio.

Requisiti tecnici chiave: VBS e considerazioni speciali

Per far funzionare l'hotpatch, sicurezza basata sulla virtualizzazione (VBS) deve essere attivo. VBS crea un ambiente isolato ("kernel sicuro") che consente di applicare gli aggiornamenti in modo affidabile in memoria. È possibile verificarne lo stato aprendo msinfo32.exe e consultando il campo “Sicurezza basata sulla virtualizzazione”.

Se è necessario abilitare VBS tramite criterio, un modo tipico è impostare la chiave di registro appropriata e riavviare il server: Reg add "HKLM\SYSTEM\ControlSet001\Control\DeviceGuard" /v "EnableVirtualizationBasedSecurity" /t REG_DWORD /d 1 /f. Dietro il Boot, msinfo32 Dovrebbe comparire la scritta "In esecuzione" e il server sarebbe pronto per la registrazione.

Sui dispositivi Arm64 che riceverà una hot patch, è necessario disabilitare CHPE (Compiled Hybrid PE), poiché la manutenzione binaria di CHPE non è supportata. Per farlo, creare o modificare questa chiave di registro DWORD e riavviarla una volta: percorso HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management, valore HotPatchRestrictions=1Se in seguito smetti di usare hotpatch, metti HotPatchRestrictions=0 e riavviare per riattivare CHPE.

Nota sulla diagnosi: il Visualizzatore eventi Questo può aiutarti a convalidare la policy hotpatch. Filtra per "AllowRebootlessUpdates" e verifica che appaia come 1 nei dati di orchestrazione: {"Orchestrator":{"UpdatePolicy":{"Update/AllowRebootlessUpdates":true}}}Allo stesso modo, filtrando per "hotpatch" nei registri delle applicazioni verranno mostrati gli eventi del servizio di monitoraggio; se viene rilevato un errore critico, il sistema può scegliere di installare la LCU standard per mantenere la sicurezza.

Hotpatch con Azure Arc e Update Manager (on-prem e multicloud)

Server Windows Server 2025 connessi a Arco Azzurro È possibile registrarsi a HotPatch dal portale. Azure Update Manager consente di valutare, pianificare e installare patch, rispettando le classificazioni di manutenzione e le finestre definite. È essenziale che VBS sia abilitato e che la connettività a Windows Update e ai servizi di Azure sia stabile.

Nel portale di Azure, all'interno della risorsa server (Arc), vedrai la capacità Hotpatching (anteprima). Verificare che VBS sia impostato su "Attivo", selezionare la casella per concedere in licenza il server per hotpatch mensili e confermare. Da quel momento in poi, il dispositivo seguirà la stessa programmazione: base di riferimento trimestrale con riavvio e mesi intermedi con hotpatch senza riavvio.

Se gestisci server locali, assicurati che i criteri di Windows Update locali non siano in conflitto con l'orchestrazione di Update Manager. La coesistenza di riavvii automatici del client con una finestra di manutenzione orchestrata può portare a risultati inaspettati, come riavvii non pianificati.

Per quanto riguarda gli script pre/post, controlla le impostazioni del piano di manutenzione in Azure Update Manager e capacità disponibili per le apparecchiature Arc nel tuo abbonamento/regione. Se le patch vengono installate a causa di un evento esterno alla finestra del piano (ad esempio, una baseline non pianificata o un'installazione manuale), tali routine potrebbero non essere eseguite.

Windows 11, Autopatch e la sua relazione con Windows Server

Dal lato client, Windows 11 Enterprise (24H2 o successivo) incorpora anche hotpatch all'interno del politica di aggiornamento della qualità gestito con Microsoft Intune. Per poterne usufruire, i dispositivi devono disporre di licenze compatibili (Windows 11 Enterprise E3/E5, Microsoft 365 F3, A3/A5 Education, Business Premium o Windows 365 Enterprise), VBS attivo e con la versione di base più recente.

L'attivazione viene eseguita dall'Intune Admin Center creando o modificando un Criteri di aggiornamento della qualità di Windows e impostando l'opzione "Quando disponibile, applica senza riavviare il dispositivo (Hotpatch)" su "Consenti". L'aggiornamento viene quindi assegnato ai gruppi di dispositivi desiderati e pubblicato. Il report sulla qualità dell'Hotpatch fornisce visibilità a livello di policy sullo stato dell'aggiornamento.

Per diagnosticare in Windows 11 e conoscere il Supporto per Windows 11: controlla VBS su Informazioni di sistema, verificare che "Abilita hotpatching quando disponibile" sia elencato in Impostazioni > Windows Update > Opzioni avanzate e controllare il Visualizzatore eventi per "AllowRebootlessUpdates". Se il servizio di monitoraggio rileva errori, il computer può installare un LCU per garantire che rimane protetto.

Ricorda che l'hotpatch non si applica Aggiornamenti e driver .NETe le baseline trimestrali richiedono comunque un riavvio. In cambio, per il resto dei mesi vengono installate hotpatch più veloci e leggere, con un minore consumo di risorse e senza interruzioni per l'utente.

Sicurezza e resilienza in Windows Server 2025

Windows Server 2025 rafforza le basi di Windows Server 2022 con miglioramenti in Zero Trust, conformità e operazioni ibride. L'integrazione con Microsoft Access ID consente l'MFA e l'accesso condizionale e, in hardware Compatible Credential Guard è abilitato a proteggere le credenziali NTLM/Kerberos tramite virtualizzazione.

Con Sicurezza basata sulla virtualizzazione e server Secured-coreI payload sensibili sono isolati e HVCI blocca i driver dannosi a livello di hypervisor. La telemetria è esposta a Defender for Cloud per una visione di sicurezza consolidata. Nelle comunicazioni, gli algoritmi LDAP su TLS 1.3 e Kerberos sono rafforzati e il client DNS supporta DoH (il ruolo del server DNS non offre DoH/DoT nativo).

Nella protezione degli endpoint, Microsoft Defender per server/endpoint Fornisce rilevamento, raccomandazioni e analisi delle vulnerabilità. Può essere acquistato come servizio Azure autonomo (Defender for Cloud) per carichi di lavoro Windows Server. Active Directory rimane il fulcro dell'identità on-premise e OSConfig facilita la gestione di massa di configurazioni sicure con oltre 300 impostazioni predefinite (CIS, DISA STIG e altre).

Azioni consigliate: abilitare Credential Guard e VBS; gestire l'hotpatching tramite Azure Arc in modalità ibrida; distribuire Defender for Servers; disabilitare i protocolli legacy e ruotare le password degli account macchina in Active Directory. Nel 2025, Windows Server rafforzerà la firma SMB, implementerà il blocco NTLM e aggiornerà le impostazioni predefinite di Kerberos.

Casi e situazioni reali da tenere in considerazione

Può succedere che, anche con hotpatch abilitato, un server riavvio dopo un LCUSe si verificano riavvii di computer Windows Server 2025 (fisici o virtuali) connessi ad Arc e gestiti con Azure Update Manager durante l'installazione, ad esempio, di "CU 2025-3", verificare se è presente una baseline non pianificata per quel mese. In tal caso, la patch a caldo per quel ciclo viene sostituita e il riavvio è obbligatorio.

Se rilevi anche che non vengono eseguiti pre/post script, convalida che la distribuzione sia stata eseguita all'interno di una finestra di manutenzione con queste azioni configurate e supportate per Arc nella tua regione. Quando l'LCU viene installata al di fuori del piano (installazione manuale, ripristino urgente o valutazione su richiesta), le routine potrebbero non attivarsi o non essere disponibili a seconda del tipo di risorsa.

Procedure consigliate per evitare sorprese: unificare l'orchestrazione in Azure Update Manager, disabilitare i riavvii automatici di Windows Update locale che entrare in conflittoUtilizza classificazioni ed esclusioni coerenti con il tuo SLA e documenta quali mesi sono di base e quali mesi di hotpatch. Tenere traccia della tua pianificazione e delle tue dipendenze è il modo più efficace per allineare le aspettative con la tua attività.

Per controllare lo stato di avanzamento, nel portale di Azure vai a Operazioni > Aggiornamenti Dal server, esegui "Valuta ora" e verifica che la sezione "Hotpatch" sia contrassegnata come "Abilitata". Sul computer stesso, "Cronologia aggiornamenti" identifica quali patch sono hotpatch. Per qualsiasi domanda, Ottieni-HotFix in PowerShell e i registri eventi sono i tuoi alleati.

Costi, licenze e modifiche al modello

Durante il periodo di anteprima, l'hotpatch era disponibile senza costi aggiuntivi in ​​molti scenari. Tuttavia, Microsoft ha annunciato che sarà modello di abbonamentoA partire dal 1° luglio 2025, il prezzo sarà di $ 1,50 per core di CPU al mese. Se utilizzi un server a 16 core, il prezzo sarà di $ 24 al mese.

Se hai provato l'hotpatch tramite Azure Arc, ti consigliamo di prendere una decisione prima del 30 giugno 2025: se non vuoi il servizio a pagamentoAnnulla l'iscrizione per evitare addebiti automatici. Tieni presente che gli aggiornamenti standard (LCU) continueranno a essere disponibili gratuitamente, anche se richiedono un riavvio. L'hotpatch non è obbligatorio; è un investimento per ambienti che non possono essere fermati.

Per preparare: verificare il numero di core per ciascun server per stimare il budget, confermare che la propria organizzazione desidera assumersi la spesa e rivedere le procedure per annullare l'iscrizione alle risorse in Arc Se necessario, nei settori operativi 24 ore su 24, 7 giorni su 7 (sanità, pagamenti, commercio al dettaglio, industria), il ritorno sull'investimento è solitamente chiaro; per carichi di lavoro meno critici, può essere sufficiente il tradizionale ciclo LCU.

Parallelamente a tutto quanto sopra, Microsoft ha rafforzato la sua iniziativa per elasticità dopo incidenti di vasta portata come quelli causati da errori di terze parti. Hanno annunciato funzionalità come Quick Machine Recovery (QMR) per aiutare a ripristinare i computer dopo errori di avvio critici, sebbene non siano ancora completamente disponibili. L'obiettivo è chiaro: ridurre l'esposizione, accelerare il ripristino ed evitare i temuti schermo nero o blu ove possibile, sapendo che hotpatch non risolve da solo gli errori critici del sistema.

L'adozione dell'hotpatching in Windows Server 2025 implica la conoscenza approfondita dei requisiti (con VBS abilitato), comprendendo la pianificazione delle baseline e dei mesi caldi e orchestrando con strumenti come Azure Update Manager e Azure Arc per mantenere il controllo. Con pacchetti più piccoli, meno riavvii, maggiore agilità e un modello di licenza chiaro, è particolarmente adatto per infrastrutture critiche che richiedono disponibilità continua, tenendo presente che alcune patch e baseline richiederanno comunque un riavvio pianificato per mantenere il sistema completamente allineato con gli aggiornamenti cumulativi.