Microsoft legt uit hoe: Windows Server-hotpatching werkt

Vorig jaar, Microsoft beschreven zijn werk aan hotpatching Windows Updates om updates direct toe te passen op Windows systemen en verwijder de noodzaak om de systemen opnieuw op te starten om de updates te installeren. Een nieuwe blogpost op de Tech Community-website van Microsoft kondigt de introductie van Hotpatching-ondersteuning in Azure Automange voor Windows Server. Microsoft vrijgegeven Windows server 2022 onlangs.

windows hotpatch-afbeeldingsindeling

Hotpatching biedt verschillende voordelen ten opzichte van traditionele manieren om updates te installeren op: Windows machines. Microsoft benadrukt de drie belangrijkste voordelen in de blogpost:

  • Minder reboots, wat de beschikbaarheid verbetert.
  • Snellere implementatie, omdat updatepakketten "kleiner zijn, sneller installeren en gemakkelijker patch-orkestratie hebben".
  • Verbeterde bescherming, omdat beveiligingsupdates onmiddellijk kunnen worden geïnstalleerd in plaats van een herstart te plannen.

Hotpatching werkt door "een basislijn vast te stellen met een" Windows Update Laatste cumulatieve update” volgens Microsoft. Het bedrijf is van plan om periodiek hotpatches uit te brengen die voortbouwen op die basislijn, en voor deze updates is een herstart niet nodig. De basislijn wordt vervolgens ook periodiek vernieuwd met nieuwe cumulatieve updates.

windows server hotpatching

Hotpatches zouden op elke Patch Tuesday (eenmaal per maand) kunnen worden uitgebracht, en nieuwe baselines zouden elke drie maanden kunnen worden uitgebracht. In het beste geval zouden servers vier keer per jaar opnieuw moeten worden opgestart, wanneer nieuwe baselines worden toegepast.

Microsoft maakt onderscheid tussen geplande en niet-geplande basislijnen Geplande basislijnen worden met een regelmatige cadans vrijgegeven om het systeem naar een nieuwe basislijn te verplaatsen. Hotpatches kunnen dan tussen deze geplande baseline-releases worden geïnstalleerd.

Er zijn ongeplande baselines nodig om systemen te patchen als hotpatching niet kan worden gebruikt voor een bepaalde patch. Microsoft noemt met name fixes voor 0-day-kwetsbaarheden. Deze ongeplande baseline-releases vereisen een herstart en bevatten alle inhoud van de laatste cumulatieve update.

Updates kunnen volgens Microsoft buiten het Hotpatch-programma worden geïnstalleerd, maar het vereist het uitschakelen en uitschrijven van hotpatching om terug te keren naar het standaard updategedrag voor Windows Server. Herinschrijven is altijd mogelijk.

De rest van de aankondiging biedt implementatiedetails voor serverbeheerders.

Hotpatching verbetert de beschikbaarheid van Windows Server door het aantal updategerelateerde herstarts in de loop van de tijd te verminderen. Bovendien worden beveiligingsupdates die via hotpatching worden geïmplementeerd onmiddellijk toegepast in plaats van een herstart (onmiddellijk of op schema); dit verkort de tijd dat de machine kwetsbaar is voor mogelijke aanvallen die op de kwetsbaarheid zijn gericht.

Microsoft werkt eraan om de hotpatching-functionaliteit naar een "bredere reeks" Windows klanten". Het is onduidelijk of dit ook consumentenversies van Windows.

(via Deskmodder)