Hotpatch für VMs

Hotpatching ist eine Möglichkeit, Betriebssystem-Sicherheitsupdates auf Windows Server zu installieren, ohne den Computer neu starten zu müssen. Hotpatching patches the in-memory code of running processes without the need to restart the process. Hotpatching bietet auch die folgenden Vorteile:

  • Weniger Binärdateien bedeuten, dass Updates schneller installiert werden und weniger Datenträger- und CPU-Ressourcen verbrauchen.

  • Geringere Arbeitsauslastungseinbußen bei weniger Notwendigkeit, Den Computer neu zu starten.

  • Besserer Schutz, da die Hotpatch-Updatepakete auf Windows-Sicherheitsupdates angewendet werden, die schneller installiert werden, ohne dass Sie den Computer neu starten müssen.

  • Reduziert die Zeit, in der Sicherheitsrisiken bestehen sowie die Zeitfenster, in denen Änderungen vorgenommen werden, und vereinfacht die Patch-Orchestrierung mit Azure Update Manager.

Unterstützte Plattformen

Virtuelle Azure- und Azure Stack HCI-Computer

In der folgenden Tabelle sind die genauen Kombinationen von Herausgeber, Betriebssystemangebot und SKU aufgeführt, die Hotpatching für Windows Server 2022 und Windows Server 2025 in Azure unterstützen. Virtuelle Computer (VMs), die Sie mit diesen Kombinationen auf Azure Stack HCI erstellen, unterstützen auch Hotpatching.

Hinweis

Windows Server-Containerbasisimages, benutzerdefinierte Images oder eine andere Kombination aus Herausgeber, Angebot und SKU werden nicht unterstützt.

Herausgeber Betriebssystemangebot SKU
MicrosoftWindowsServer Windows Server 2022-Datacenter-Azure-Edition-Core
MicrosoftWindowsServer Windows Server 2022-Datacenter-Azure-Edition-Core-smalldisk
MicrosoftWindowsServer Windows Server 2022-Datacenter-Azure-Edition-Hotpatch
MicrosoftWindowsServer Windows Server 2022-Datacenter-Azure-Edition-Hotpatch-smalldisk
MicrosoftWindowsServer Windows Server 2025-Datacenter-Azure-Edition
MicrosoftWindowsServer Windows Server 2025-Datacenter-Azure-Edition-smalldisk
MicrosoftWindowsServer Windows Server 2025-Datacenter-Azure-Edition-Core
MicrosoftWindowsServer Windows Server 2025-Datacenter-Azure-Edition-Core-smalldisk

Weitere Informationen zu den verfügbaren Images finden Sie unter Windows Server auf dem Azure Marketplace.

Mit Azure Arc verbundene Computer (Vorschau)

Wichtig

Azure Arc-fähiges Hotpatch befindet sich derzeit in der VORSCHAU. Die zusätzlichen Nutzungsbestimmungen für Microsoft Azure-Vorschauen enthalten rechtliche Bedingungen. Sie gelten für diejenigen Azure-Features, die sich in der Beta- oder Vorschauversion befinden oder aber anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.

Azure Arc-verbundene Windows Server 2025-Computer können Hotpatches empfangen, wenn Sie das Feature im Azure Arc-Portal aktivieren. Um mit der Verwendung von Azure Arc-fähigen Hotpatch zu beginnen, verbinden Sie Azure Arc mit Computern mit einer der folgenden Editionen:

  • Windows Server 2025 Datacenter Edition

  • Windows Server 2025 Standard Edition

Funktionsweise von Hotpatch

Hotpatch richtet zunächst einen Basisplan mit dem aktuellen kumulativen Update für Windows Server ein. Alle drei Monate wird der Basisplan regelmäßig mit dem neuesten kumulativen Update aktualisiert. Anschließend erhalten Sie Hotpatch-Versionen für die nächsten zwei Monate nach dem kumulativen Update. Wenn Januar beispielsweise ein kumulatives Update ist, verfügen Februar und März über Hotpatch-Versionen. Weitere Informationen zum Hotpatch-Veröffentlichungszeitplan finden Sie in den Versionshinweisen für Hotpatch in Azure Automanage für Windows Server 2022.

Es gibt zwei Arten von Basisplänen: Geplante Basispläne und nicht geplanten Basispläne.

  • Geplante Baselines werden in einem regelmäßigen Rhythmus veröffentlicht, wobei zwischendurch Hotpatch-Releases veröffentlicht werden. Geplante Basispläne enthalten alle Updates in einem vergleichbaren kumulativen Update für diesen Monat und erfordern einen Neustart des Computers.

    • Beispielsweise kann ein geplanter Veröffentlichungszeitraum für ein Jahr vier geplante Basisversionen in einem Kalenderjahr und acht Hotpatch-Versionen enthalten.
  • Ungeplante Basispläne werden während eines ungeplanten wichtigen Updates veröffentlicht, z. B. ein Zero-Day-Fix, wenn dieses bestimmte Update nicht als Hotpatch veröffentlicht werden kann. Wenn ungeplante Basispläne veröffentlicht werden, wird eine Hotpatch-Version durch einen ungeplanten Basisplan für diesen Monat ersetzt. Ungeplante Basispläne enthalten auch alle Updates in einem vergleichbaren kumulativen Update für diesen Monat und erfordern daher einen Neustart des Computers.

    • Da diese Ereignisse ungeplant sind, können Entwickler im Voraus keine ungeplanten Basispläne vorhersagen.

Hotpatch-Updates erfordern nicht, dass Sie Den Computer neu starten. Da Hotpatches den Speichercode der ausgeführten Prozesse patchen, ohne sie neu starten zu müssen, sind Ihre Anwendungen nicht betroffen. Dieser Mangel an Neustart wirkt sich nicht auf die Leistung oder Funktionalität des Patches selbst aus.

Unterstützte Updates

Hotpatch deckt Windows-Sicherheit Updates ab und behält die Parität mit dem Inhalt von Sicherheitsupdates, die im regulären Windows Update-Kanal ohne Hotpatch ausgegeben wurden.

Es gibt einige wichtige Dinge, die Sie berücksichtigen müssen, wenn Sie Hotpatch auf einer unterstützten Version von Windows Server aktivieren. Sie müssen Ihren Computer weiterhin neu starten, um Updates zu installieren, die nicht im Hotpatch-Programm enthalten sind. Außerdem müssen Sie nach der Installation eines neuen Basisplans regelmäßig neu starten. Durch den Neustart wird Ihre VM mit nicht sicherheitsrelevanten Patches synchronisiert, die in den neuesten kumulativen Updates enthalten sind.

Die folgenden Patches sind derzeit nicht im Hotpatch-Programm enthalten und erfordern, dass Sie Ihren Computer während der Hotpatch-Veröffentlichungsmonate aktualisieren müssen:

  • Nicht sicherheitsrelevante Updates für Windows

  • .NET-Updates

  • Nicht-Windows-Updates, z. B. Treiber, Firmwareupdates usw.

Patchorchestrierungsprozess

Hotpatch ist eine Erweiterung von Windows Update und typischen Verwaltungsprozessen. Die Arten von Tools, die Hotpatch für die Patchverwaltung verwendet, variieren jedoch je nachdem, welche Plattform Sie verwenden.

Azure

  • VMs, die Sie in Azure mit einem unterstützten Windows Server-Image erstellen, sind standardmäßig automatische VM-Gastpatching aktiviert.

  • Hotpatch lädt automatisch Patches herunter und wendet Patches an, die als kritisch oder sicherheitskritisch eingestuft wurden, auf Ihren virtuellen Computer.

  • Hotpatch wendet Patches während der Spitzenzeiten in der Zeitzone des virtuellen Computers an.

  • Azure verwaltet Patches für Sie und wendet Patches nach den Prinzipien der Verfügbarkeit an.

  • Azure überwacht die VM-Integrität über Plattformintegritätssignale, um Patchingfehler zu erkennen.

Hinweis

Sie können VM Scale Sets (VMSS) nicht mit Uniform-Orchestrierung in Azure Edition-Images mit Hotpatch erstellen. Weitere Informationen dazu, welche Features von der Uniform-Orchestrierung für Scale Sets unterstützt werden, finden Sie unter Vergleich von flexiblen, Uniform- und Verfügbarkeitsgruppen.

Azure Stack HCI

Azure Stack HCI kann Hotpatch-Updates für VMs mithilfe der folgenden Tools orchestrieren:

  • Gruppenrichtlinie konfiguriert Windows Update-Clienteinstellungen.

  • SCONFIG konfiguriert die Windows Update-Clienteinstellungen für Server Core.

  • Lösungen für die Patchverwaltung von Drittanbietern.

Mit Azure Arc verbundene Computer

Mit Azure Arc verbundene Computer können Hotpatch-Updates mit den folgenden Tools nutzen:

  • Azure Update Manager

  • Gruppenrichtlinie konfiguriert Windows Update-Clienteinstellungen.

  • SCONFIG konfiguriert die Windows Update-Clienteinstellungen für Server Core.

  • Lösungen für die Patchverwaltung von Drittanbietern.

Weitere Informationen dazu, welche Tools Hotpatch verwendet, finden Sie in der Dokumentation zu Azure Update Manager .

Grundlegendes zum Patchstatus für Ihre VM in Azure

Um den Patchstatus für Ihren virtuellen Computer anzuzeigen, öffnen Sie die Seite "Übersicht" für Ihren virtuellen Computer im Azure-Portal. Wählen Sie dort unter "Vorgänge" die Option "Updates" aus. Der Patchstatus und die zuletzt installierten Patches sollten unter den empfohlenen Updates angezeigt werden.

Auf der Seite "Empfohlene Updates " können Sie den Hotpatch-Status Ihrer VM anzeigen und wenn es verfügbare Patches für Ihren virtuellen Computer gibt. Wie in "How Hotpatch" beschrieben, werden automatisch alle kritischen und sicherheitsrelevanten Patches für automatische VM-Gastpatching auf Ihrer VM installiert.

Patches außerhalb dieser beiden Kategorien werden nicht automatisch installiert und stattdessen auf der Registerkarte "Updatecompliance " als Liste der verfügbaren Patches angezeigt. Sie können auch die Registerkarte "Updateverlauf " überprüfen, um Details zur Patchinstallation für Updatebereitstellungen auf Ihrem virtuellen Computer aus den letzten 30 Tagen anzuzeigen.

Automatische VM-Gastpatching führt regelmäßig Bewertungen der verfügbaren Patches aus, die Sie auf der Registerkarte "Updates" anzeigen können. Sie können eine Bewertung manuell starten, indem Sie die Schaltfläche "Jetzt bewerten" auswählen. Sie können Patches auch bei Bedarf installieren, indem Sie die Schaltfläche "Updates jetzt installieren " auswählen. Mit dieser Option können Sie auswählen, ob alle Updates unter bestimmten Patchklassifizierungen installiert oder einzelne Updates ausgewählt werden sollen, die eingeschlossen oder ausgeschlossen werden sollen, indem Sie eine Liste der Wissensdatenbank Artikel bereitstellen. Denken Sie jedoch daran, dass Patches, die Sie manuell installieren, nicht den Prinzipien der Verfügbarkeit entsprechen und möglicherweise einen Neustart ihrer VM erfordern.

Sie können installierte Patches auch anzeigen, indem Sie das Cmdlet Get-HotFix in PowerShell ausführen oder das Menü "Einstellungen" in der Desktopdarstellung anzeigen.

Rollbackunterstützung für Hotpatching

Hotpatch-Updates unterstützen kein automatisches Rollback. Wenn während oder nach einem Update ein Problem aufgetreten ist, müssen Sie das neueste Update deinstallieren und das letzte funktionsbezogene Basisplanupdate installieren. Für diesen Vorgang müssen Sie den virtuellen Computer neu starten.

Nächste Schritte