Habilitar o Hotpatch para máquinas virtuais do Azure Edition criadas a partir de uma ISO

Patch dinâmico do Windows Server 2022 Datacenter: o Azure Edition permite instalar atualizações de segurança sem a necessidade de reinicialização após a instalação. Você pode usar o patch dinâmico com a Experiência Desktop e o Server Core. Este artigo mostra como configurar o patch dinâmico após a instalação ou a atualização do sistema operacional usando uma ISO.

Observação

Se você estiver usando o mercado do Azure, não siga as etapas neste artigo. Em vez disso, use as seguintes imagens do Azure Marketplace que estão prontas para Hotpatching:

  • Windows Server 2022 Datacenter: Hotpatch do Azure Edition – Gen2
  • Windows Server 2022 Datacenter: Azure Edition Core – Gen2

Há algumas diferenças importantes entre a experiência de patch dinâmico no computador implantado por ISO no Azure Stack HCI e o uso do patch dinâmico no Gerenciamento Automatizado do Azure para VMs do Azure.

As diferenças incluem:

  • A configuração de patch dinâmico não está disponível por meio do Gerenciador de Atualização do Azure.
  • O patch dinâmico não pode ser desabilitado.
  • A orquestração de aplicação de patch automática não está disponível.
  • A orquestração precisa ser executada manualmente (por exemplo, usando o Windows Update por SConfig).

Pré-requisitos

Para habilitar o patch dinâmico, você precisa preparar os seguintes pré-requisitos antes de começar:

  • Windows Server 2022 Datacenter: Azure Edition hospedado em uma plataforma com suporte, como o Azure ou o Azure Stack HCI com os benefícios do Azure habilitados.
    • O Azure Stack HCI precisa estar na versão 21H2 ou posterior.
  • Examine a seção Como funciona o patch dinâmico do artigo Patch dinâmico para novas máquinas virtuais.
  • Acesso de rede de saída ou uma regra de porta de saída que permita o tráfego HTTPS (TCP/443) para os seguintes pontos de extremidade:
    • go.microsoft.com
    • software-static.download.prss.microsoft.com

Preparar o computador

Para habilitar o patch dinâmico na VM, você precisa preparar o computador seguindo estas etapas:

  1. Entre no computador. Se você estiver no Server Core, no menu SConfig, insira a opção 15 e pressione Enter para abrir uma sessão do PowerShell. Se você estiver na experiência da área de trabalho, a área de trabalho remota entrará em sua VM e iniciará o PowerShell.

  2. Habilite a segurança baseada em virtualização executando o seguinte comando do PowerShell para definir as configurações corretas do Registro:

    $registryPath = "HKLM:\SYSTEM\CurrentControlSet\Control\DeviceGuard"
$parameters = $parameters = @{
    Path = $registryPath
    Name = "EnableVirtualizationBasedSecurity"
    Value = "0x1"
    Force = $True
    PropertyType = "DWORD" 
}
New-ItemProperty @parameters

  3. Reinicie seu computador.

  4. Configure o tamanho da tabela do patch dinâmico no Registro executando o seguinte comando do PowerShell:

    $registryPath = "HKLM:\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management"
$parameters = $parameters = @{
    Path = $registryPath
    Name = "HotPatchTableSize"
    Value = "0x1000"
    Force = $True
    PropertyType = "DWORD"
}
New-ItemProperty @parameters

  5. Configure o ponto de extremidade do Windows Update para patch dinâmico no Registro executando o seguinte comando do PowerShell:

    $registryPath = "HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Update\TargetingInfo\DynamicInstalled\Hotpatch.amd64"
$nameParameters = $parameters = @{
    Path = $registryPath
    Name = "Name"
    Value = "Hotpatch Enrollment Package"
    Force = $True
}
$versionParameters = $parameters = @{
    Path = $registryPath
    Name = "Version"
    Value = "10.0.20348.1129"
    Force = $True
}
New-Item $registryPath -Force
New-ItemProperty @nameParameters
New-ItemProperty @versionParameters

Agora que você preparou o computador, instale o pacote de manutenção de patch dinâmico.

Instalar o pacote de manutenção de patch dinâmico

Observação

A base de dados de pré-requisito do patch dinâmico não está publicada no catálogo do Microsoft Update no momento.

Para receber atualizações do patch dinâmico, você precisará baixar e instalar o pacote de manutenção de patch dinâmico. Na sessão do PowerShell, conclua as seguintes etapas:

  1. Baixe o pacote autônomo (KB5003508) do Microsoft Update do catálogo do Microsoft Update e copie-o no computador usando o seguinte comando do PowerShell:

    $parameters = @{
     Source = "https://go.microsoft.com/fwlink/?linkid=2211714"
     Destination = ".\KB5003508.msu"
}
Start-BitsTransfer @parameters

  2. Para instalar o pacote autônomo, execute o seguinte comando:

    wusa.exe .\KB5003508.msu

  3. Siga os prompts. Após a conclusão, selecione Concluir.

  4. Para verificar a instalação, execute o seguinte comando:

    Get-HotFix | Where-Object {$_.HotFixID -eq "KB5003508"}

Observação

Ao usar o Server Core, as atualizações são definidas para serem instaladas manualmente por padrão. Você pode alterar essa configuração usando o utilitário SConfig.

Próximas etapas

Agora que você configurou o computador para patch dinâmico, veja alguns artigos que podem ajudar a atualizar o computador: