Patch a caldo per macchine virtuali
Hotpatching è un modo per installare gli aggiornamenti della sicurezza del sistema operativo in Windows Server senza dover riavviare il computer. Il hotpatching applica patch al codice in memoria dei processi in esecuzione senza la necessità di riavviare il processo. Hotpatching offre anche i vantaggi seguenti:
Un minor numero di file binari significa che gli aggiornamenti vengono installati più velocemente e consumano meno risorse su disco e CPU.
Minore impatto sul carico di lavoro con meno necessità di riavviare il computer.
Maggiore protezione, poiché i pacchetti di aggiornamento Hotpatch hanno come ambito gli aggiornamenti della sicurezza di Windows che vengono installati più velocemente senza che sia necessario riavviare il computer.
Riduzione del tempo di esposizione ai rischi per la sicurezza e alle finestre di modifica e semplificazione dell'orchestrazione delle patch con Azure Update Manager.
Piattaforme supportate
Macchine virtuali Azure e Azure Stack HCI
La tabella seguente elenca le combinazioni esatte di publisher, offerta del sistema operativo e SKU che supportano hotpatching per Windows Server 2022 e Windows Server 2025 in Azure. Le macchine virtuali create in Azure Stack HCI usando queste combinazioni supportano anche hotpatching.
Nota
Le immagini di base dei contenitori di Windows Server, le immagini personalizzate o qualsiasi altra combinazione di publisher, offerta e SKU non sono supportate.
| Publisher | Offerta sistema operativo | SKU |
|---|---|---|
| MicrosoftWindowsServer | WindowsServer | 2022-Datacenter-Azure-Edition-Core |
| MicrosoftWindowsServer | WindowsServer | 2022-Datacenter-Azure-Edition-Core-smalldisk |
| MicrosoftWindowsServer | WindowsServer | 2022-Datacenter-Azure-Edition-Hotpatch |
| MicrosoftWindowsServer | WindowsServer | 2022-Datacenter-Azure-Edition-Hotpatch-smalldisk |
| MicrosoftWindowsServer | WindowsServer | 2025-Datacenter-Azure-Edition |
| MicrosoftWindowsServer | WindowsServer | 2025-Datacenter-Azure-Edition-smalldisk |
| MicrosoftWindowsServer | WindowsServer | 2025-Datacenter-Azure-Edition-Core |
| MicrosoftWindowsServer | WindowsServer | 2025-Datacenter-Azure-Edition-Core-smalldisk |
Per altre informazioni sulle immagini disponibili, vedere Windows Server in Azure Marketplace.
Computer connessi ad Azure Arc (anteprima)
Importante
Hotpatch abilitato per Azure Arc è attualmente disponibile in ANTEPRIMA. Vedere le condizioni per l'utilizzo supplementari per le anteprime di Microsoft Azure per termini legali aggiuntivi che si applicano a funzionalità di Azure in versione beta, in anteprima o in altro modo non ancora disponibili a livello generale.
I computer Windows Server 2025 connessi ad Azure Arc possono ricevere hotpatches se si abilita la funzionalità nel portale di Azure Arc. Per iniziare a usare Hotpatch abilitato per Azure Arc, connettere Azure Arc ai computer usando una delle edizioni seguenti:
Windows Server 2025 Datacenter Edition
Windows Server 2025 edizione Standard
Funzionamento di Hotpatch
Hotpatch stabilisce prima una linea di base con l'aggiornamento cumulativo corrente per Windows Server. Ogni tre mesi, la baseline viene aggiornata periodicamente con l'aggiornamento cumulativo più recente. Si riceveranno quindi le versioni hotpatch per i due mesi successivi all'aggiornamento cumulativo. Ad esempio, se gennaio è un aggiornamento cumulativo, febbraio e marzo avranno versioni hotpatch. Per altre informazioni sulla pianificazione della versione di Hotpatch, vedere Note sulla versione per Hotpatch in Gestione automatica di Azure per Windows Server 2022.
Esistono due tipi di baseline: baseline pianificate e baseline non pianificate.
Le baseline pianificate vengono rilasciate a cadenza regolare, con versioni di Hotpatch tra di loro. Le baseline pianificate includono tutti gli aggiornamenti in un aggiornamento cumulativo paragonabile per quel mese e richiedono il riavvio del computer.
- Ad esempio, un periodo di rilascio pianificato di un anno può includere quattro versioni di base pianificate in un anno di calendario e otto versioni hotpatch.
Le baseline non pianificate vengono rilasciate durante un aggiornamento importante non pianificato, ad esempio una correzione zero-day, quando tale particolare aggiornamento non può essere rilasciato come hotpatch. Quando le baseline non pianificate vengono rilasciate, una versione hotpatch viene sostituita con una baseline non pianificata per quel mese. Le baseline non pianificate includono anche tutti gli aggiornamenti in un aggiornamento cumulativo paragonabile per quel mese e quindi richiedono il riavvio del computer.
- Poiché questi eventi non sono pianificati, gli sviluppatori non possono prevedere in anticipo le baseline non pianificate.
Gli aggiornamenti hotpatch non richiedono il riavvio del computer. Poiché hotpatches applica patch al codice in memoria dei processi in esecuzione senza dover riavviarli, le applicazioni non sono interessate. Questa mancanza di riavvio non influisce sulle prestazioni o sulle implicazioni della funzionalità della patch stessa.
Aggiornamenti supportati
Hotpatch copre Sicurezza di Windows aggiornamenti e mantiene la parità con il contenuto degli aggiornamenti della sicurezza rilasciati a nel normale canale di aggiornamento di Windows non Hotpatch.
Quando si abilita Hotpatch in una versione supportata di Windows Server, è necessario considerare alcuni aspetti importanti. È comunque necessario riavviare il computer per installare gli aggiornamenti non inclusi nel programma Hotpatch. È anche necessario riavviare periodicamente dopo l'installazione di una nuova baseline. Il riavvio mantiene la macchina virtuale sincronizzata con le patch non di sicurezza incluse negli aggiornamenti cumulativi più recenti.
Le patch seguenti non sono attualmente incluse nel programma Hotpatch e richiedono l'aggiornamento del computer durante i mesi di rilascio di Hotpatch:
Aggiornamenti non della sicurezza per Windows
Aggiornamenti di .NET
Aggiornamenti non Windows, ad esempio driver, aggiornamenti del firmware e così via.
Processo di orchestrazione patch
Hotpatch è un'estensione di Windows Update e dei processi di gestione tipici. Tuttavia, i tipi di strumenti usati da Hotpatch per la gestione delle patch variano a seconda della piattaforma in uso.
Azure
Per impostazione predefinita, le macchine virtuali create in Azure usando un'immagine di Windows Server supportata hanno l'abilitazione dell'applicazione automatica di patch guest alle macchine virtuali.
Hotpatch scarica e applica automaticamente patch classificate come critiche o di sicurezza alla macchina virtuale.
Hotpatch applica patch durante le ore di minore attività nel fuso orario della macchina virtuale.
Azure gestisce automaticamente le patch, applicando patch in base ai principi di disponibilità.Azure gestisce automaticamente le patch.
Azure monitora l'integrità delle macchine virtuali tramite segnali di integrità della piattaforma per rilevare gli errori di applicazione di patch.
Nota
Non è possibile creare set di scalabilità di macchine virtuali (VMSS) con orchestrazione uniforme nelle immagini di Azure Edition con Hotpatch. Per altre informazioni sulle funzionalità supportate dall'orchestrazione Uniforme per i set di scalabilità, vedere Confronto tra set di disponibilità flessibili e uniformi.
Azure Stack HCI
Azure Stack HCI può orchestrare gli aggiornamenti hotpatch per le macchine virtuali usando gli strumenti seguenti:
Criteri di gruppo configura le impostazioni client di Windows Update.
SCONFIG configura le impostazioni client di Windows Update per Server Core.
Soluzioni di gestione delle patch di terze parti.
Computer connessi ad Azure Arc
I computer connessi ad Azure Arc possono usare gli aggiornamenti hotpatch usando gli strumenti seguenti:
Gestore aggiornamenti di Azure
Criteri di gruppo configura le impostazioni client di Windows Update.
SCONFIG configura le impostazioni client di Windows Update per Server Core.
Soluzioni di gestione delle patch di terze parti.
Per altre informazioni sugli strumenti usati da Hotpatch, vedere la documentazione di Azure Update Manager .
Informazioni sullo stato della patch per la macchina virtuale in Azure
Per visualizzare lo stato della patch per la macchina virtuale, aprire la pagina Panoramica per la macchina virtuale nel portale di Azure. Da qui, in Operazioni selezionare Aggiornamenti. Verrà visualizzato lo stato della patch e le patch installate più di recente in Aggiornamenti consigliati.
Nella pagina Aggiornamenti consigliati è possibile visualizzare lo stato hotpatch della macchina virtuale e, se sono disponibili patch per la macchina virtuale. Come indicato in Funzionamento di Hotpatch, l'applicazione automatica di patch guest alle macchine virtuali installa automaticamente tutte le patch critiche e di sicurezza nella macchina virtuale.
Le patch esterne a queste due categorie non vengono installate automaticamente e vengono invece visualizzate nella scheda Conformità aggiornamenti come elenco delle patch disponibili. È anche possibile controllare la scheda Cronologia aggiornamenti per visualizzare i dettagli di installazione delle patch per le distribuzioni degli aggiornamenti nella macchina virtuale negli ultimi 30 giorni.
L'applicazione automatica di patch guest alle macchine virtuali esegue regolarmente valutazioni delle patch disponibili, che è possibile visualizzare nella scheda Aggiornamenti . È possibile avviare manualmente una valutazione selezionando il pulsante Valuta adesso . È anche possibile installare patch su richiesta selezionando il pulsante Installa aggiornamenti ora . Questa opzione consente di scegliere se installare tutti gli aggiornamenti in classificazioni di patch specifiche o selezionare singoli aggiornamenti da includere o escludere fornendo un elenco di articoli della Knowledge Base. Tenere tuttavia presente che le patch installate manualmente non seguono i principi di disponibilità e potrebbero richiedere il riavvio della macchina virtuale.
È anche possibile visualizzare le patch installate eseguendo il cmdlet Get-HotFix in PowerShell o visualizzando il menu Impostazioni in Esperienza desktop.
Supporto del rollback per hotpatching
Gli aggiornamenti hotpatch non supportano il rollback automatico. Se si verifica un problema durante o dopo un aggiornamento, è necessario disinstallare l'aggiornamento più recente e installare l'ultimo aggiornamento della baseline funzionale. Questo processo richiede il riavvio della macchina virtuale.