MR - stock.adobe.com
Wie Sie Hotpatching unter Windows Server 2025 nutzen
Microsoft hat Hotpatching auf die Standard- und Datacenter-Editionen von Windows Server 2025 ausgeweitet. Damit sollen Neustarts für kritische Workloads reduziert werden.
Einen guten Zeitpunkt für einen Neustart gibt es selten – nach der Installation von Sicherheits-Updates ist er unter Windows jedoch häufig unvermeidlich. Auf Desktop-Systemen können automatische Neustarts unerwartet erfolgen und dazu führen, dass nicht gespeicherte Arbeit verloren geht. In Serverumgebungen sind die Auswirkungen noch gravierender: Updates unterbrechen Workloads und können selbst bei kurzer Downtime spürbare Folgen haben. Entsprechend hoch ist der Aufwand, den Unternehmen betreiben: Sie versuchen, ihre Infrastrukturen so auszulegen, dass Anwendungen auch dann verfügbar bleiben, wenn einzelne Server neu starten müssen.
Um die Zahl notwendiger Neustarts nach Windows-Server-Updates zu reduzieren, hat Microsoft Maßnahmen ergriffen. Mit Windows Server 2025 führt das Unternehmen Hotpatching nun auch in den Editionen Standard und Datacenter ein. Zuvor war diese Technik ausschließlich für virtuelle Maschinen mit Windows Server 2022 Datacenter: Azure Edition verfügbar, die in Azure oder auf Azure Stack HCI betrieben wurden.
Welche Vorteile bietet Hotpatching für Windows Server?
So verlockend die Aussicht auf weniger Server-Neustarts auch ist – die Vorteile von Hotpatching beschränken sich nicht nur darauf. Microsoft hat die Funktion so konzipiert, dass sicherheitsrelevanter Code direkt im Arbeitsspeicher eines laufenden Servers aktualisiert wird. Dadurch entfällt der klassische Update-Zyklus, bei dem Änderungen auf die Festplatte geschrieben und anschließend durch einen Neustart in den Speicher geladen werden müssen. Im Vergleich zu herkömmlichen Windows-Updates ist der Patch-Vorgang damit weniger ressourcenintensiv und belastet CPU und Speicher nur minimal.
Was vielleicht noch wichtiger ist: Die Organisation des Patch-Managements wird durch Hotpatching erheblich einfacher: Administratoren müssen Sicherheits-Updates nicht mehr auf Wartungsfenster abstimmen, in denen produktive Workloads gestoppt und Server neu gestartet werden. Updates lassen sich schneller einspielen, was die Zeitspanne reduziert, in der Systeme ungepatchten Schwachstellen ausgesetzt sind. Gerade in sicherheitskritischen Umgebungen ist das ein wesentlicher Vorteil.
Wie funktioniert Windows Server 2025 Hotpatching?
Wie bereits erwähnt, funktioniert Hotpatching, indem es den Code aktualisiert, der innerhalb des Speichers eines Servers ausgeführt wird. Der neue Code muss dann nicht mehr auf die Festplatte geschrieben und der Server neu gestartet werden, um diesen Code in den Speicher zu laden. Leider beseitigt diese Methode nicht die Notwendigkeit, Server nach dem Update-Prozess neu hochzufahren. Stattdessen reduziert sie die Häufigkeit der erforderlichen Neustarts.
Technisch basiert das Verfahren auf sogenannten Baseline-Images, die funktional mit kumulativen Updates vergleichbar sind. Wird ein Server für Hotpatching konfiguriert, installiert Windows Update zunächst ein solches Baseline-Image. Nach einem Neustart können nachfolgende Sicherheits-Updates als Hotpatches eingespielt werden, bis Microsoft die nächste Baseline veröffentlicht.
Microsoft plant, neue Baseline-Images in einem festen Rhythmus von drei Monaten bereitzustellen. Enthält eine Baseline beispielsweise die Updates für Juli, werden die Updates für August und September als Hotpatches ausgeliefert. Der nächste reguläre Neustart wäre dann im Oktober erforderlich. Mit anderen Worten: Server müssen nur einmal alle drei Monate neu gestartet werden.
Einige Situationen können jedoch einen Server-Neustart zwischen den Baseline-Veröffentlichungen erforderlich machen. Microsoft weist darauf hin, dass es gelegentlich eine ungeplante Baseline zwischen den geplanten Veröffentlichungen, ein Nicht-Sicherheits-Update oder einen Zero-Day-Fix veröffentlichen könnte – was alles einen Neustart erfordern würde.
Weiterhin gibt Microsoft an, dass Hotpatching nicht für alle Update-Typen verfügbar ist. Dazu zählen insbesondere Nicht-Sicherheits-Updates, .NET-Patches und Aktualisierungen von Drittanbietern. Diese Drittanbieter-Updates können Firmware-Revisionen oder Treiber-Upgrades umfassen.
Die meisten Administratoren verwenden Azure Arc über das Azure-Portal, um die Bereitstellung von Patches für ihre Windows Server 2025 Anwendungen anzuzeigen und zu verwalten. Microsoft hat aber mehrere andere Tools zur Patch-Verwaltung im Programm, um Hotpatches zu managen.
Eine Methode ist über einen Windows Update-Scan, der je nach Release-Zyklus entweder einen Hotpatch oder das Baseline-Update anbietet. SConfig führt die gleiche Aufgabe auf Server Core-Workloads durch. Der Azure Update Manager ist ein anderes verfügbares Tool zur Verwaltung dieser Hotpatch-Updates.
Was sind die Voraussetzungen für Windows Server 2025 Hotpatching?
Hotpatching ist für Microsoft nicht neu. Bereits Windows Server 2022 Datacenter: Azure Edition unterstützte diese Technik für virtuelle Maschinen in Azure und auf Azure Stack HCI. Mit Windows Server 2025 weitet Microsoft Hotpatching nun auf die Editionen Standard und Datacenter aus – auch für physische Server sowie Hyper-V- und VMware-VMs im eigenen Rechenzentrum oder in Drittanbieter-Clouds.
Administratoren, die den Hotpatch-Dienst testen möchten, konnten ihn bis zum 30. Juni 2025 kostenlos nutzen. Ab dem 1. Juli 2025 wurde Hotpatching als kostenpflichtiger Abonnementdienst angeboten. Die Kosten betragen 1,50 US-Dollar pro CPU-Kern und Monat, unabhängig davon, ob es sich um physische oder virtuelle Kerne handelt.
Für den Einsatz von Windows Server 2025 Hotpatching außerhalb von Azure gelten folgende Anforderungen:
- Azure Arc-Verbindung unter Verwendung des Connected Machine Agent
- Abonnement des Hotpatching-Dienstes (seit 1. Juli 2025)
- Unified Extensible Firmware Interface (UEFI) mit aktiviertem Secure Boot
- Virtualization-Based Security (VBS) auf der VM oder dem physischen Server
- Hyper-V-VMs müssen Generation 2 sein
- vorhandenes Azure-Abonnement
Da der Hotpatching-Prozess Code ändert, der im Serverspeicher läuft, verwendet Microsoft VBS, um vor Exploits zu schützen und den Kernel sicher zu halten.
VBS lässt sich per Registry-Eintrag aktivieren; anschließend ist ein Neustart erforderlich:
Reg add "HKLM\SYSTEM\ControlSet001\Control\DeviceGuard" /v "EnableVirtualizationBasedSecurity" /t REG_DWORD /d 1 /fSobald der Server neu gestartet wurde, können Sie das MSINFO32-Tool verwenden, um zu überprüfen, ob VBS aktiviert ist.
Wie man Hotpatching für Windows Server 2025 einrichtet
Um Hotpatching auf Windows Server 2025 Standard oder Datacenter außerhalb von Azure zu nutzen, muss der Server zunächst mit Azure Arc verbunden werden. Dazu ist die Installation des Azure Connected Machine Agent erforderlich.
Die Registrierung erfolgt über das Azure-Portal: Öffnen Sie Azure Arc und klicken auf Add Resources (Ressourcen hinzufügen). Klicken Sie auf die entsprechende Aufforderung auf Add/Create (Hinzufügen/Erstellen), gefolgt von Add a Machine (Ein Gerät hinzufügen). Wählen Sie nun die Option Add a single server (Einen einzelnen Server hinzufügen) oder Add multiple servers (Mehrere Server hinzufügen). Sie können den Server entweder über ein Skript oder den Windows Installer hinzufügen.
Nach der Installation des Connected Machine Agent kehren Sie zum Azure-Portal zurück und öffnen den Azure Arc-Dienst. Klicken Sie nun auf die Registerkarte Azure Arc Resources (Azure Arc-Ressourcen) und dann auf die Registerkarte Machines (Geräte). Sie sollten dann Ihren registrierten Server sehen.
Klicken Sie auf den Server und dann auf Hotpatch. Wählen Sie abschließend das Kontrollkästchen I want to license this Windows Server to receive monthly hotpatches (Ich möchte diesen Windows Server lizenzieren, um monatliche Hotpatches zu erhalten) aus und klicken Sie auf Confirm (Bestätigen).
