[English]Es war bereits seit längerem für Windows 11 24H2 und Windows Server 2025 angekündigt, das sogenannte Hotpatching. Dieses Feature ist nun für Nutzer von Windows 11 24H2 Enterprise verfügbar, d.h. der Neustart nach einer Update-Installation kann einige Male im Jahr entfallen. Es gibt aber gewissen Einschränkungen, die man beachten sollte.
Was bedeutet Hotpatching?
Microsoft beschreibt im Support-Beitrag Hotpatch for virtual machines von Oktober 2023 den gewählten Ansatz für Hotpatching als eine Methode, zur Installation von Betriebssystem-Sicherheitsupdates auf unterstützten virtuellen Maschinen (VMs) unter Windows Server Datacenter: Azure Edition, ohne dass nach der Installation ein Neustart erforderlich ist. Dabei wird der speicherinterne Code von laufenden Prozessen gepatcht, ohne dass der Prozess neu gestartet werden muss. Wolfgang Sommergut hat das Thema in diesem deutschsprachigen Artikel mit einigen Details aufgegriffen.
Microsoft ist also seit einiger Zeit an diesem Thema dran. Aber Hotpatching zieht sich als Begriff wie eine Fata Morgana durch die Ankündigungen. Im Juli 2022 habe ich im Blog-Beitrag VMs mit Windows Server Datacenter 2022 auf Azure mit Desktop Experience: Hotpatching verfügbar berichtet, dass eine entsprechende Funktion bei Windows Server Datacenter 2022 auf Azure verfügbar sei.
Und bei dem Anfang 2024 vorgestellten Windows Server 2025 soll Hotpatching auch an Bord sein, wie ich im Blog-Beitrag Windows Server 2025 vorgestellt erwähnt habe. Weiterhin war Hotpatching für Windows 11 24H2 angekündigt, ich hatte im Februar 2024 im Blog-Beitrag Windows 11 24H2 soll wohl "Hotpatching" (Update-Installation ohne Neustart) bekommen einige Details über Microsofts Pläne zum Hotpatching veröffentlicht.
Hotpatching in Windows 11 24H2 verfügbar
Zum 2. April 2025 bin ich dann auf nachfolgenden Tweet von Windows IT Pro gestoßen, wo das Thema "Hotpatch Updates" für Windows 11 Enterprise-Systeme erwähnt wird. Microsoft hat das Ganze im Techcommunity-Beitrag Hotpatch for Windows client now available detaillierter beschrieben wird.
Hotpatch-Updates sind nun für Windows 11 Enterprise Version 24H2, allerdings nur für x64 (AMD/Intel) CPU-Geräte verfügbar. ARM-Systeme mit Windows 11 24H2 sollte das Feature später bekommen.
Was Administratoren tun müssen
Administratoren müssen zunächst eine Hotpatch-fähige Qualitätsupdate-Richtlinie in Windows Autopatch über die Microsoft Intune-Konsole erstellen. Allen berechtigten Windows 11 Enterprise, Version 24H2-Geräten, die von dieser Richtlinie verwaltet werden, werden Hotpatch-Updates in einem vierteljährlichen Zyklus angeboten.
Die Hotpatch-Updates werden wie die wie Standard-Updates verteilt. Geräte, die das Hotpatch-Update erhalten, sehen aber eine andere KB-Nummer (für die Hotpatch-Version) und eine andere Betriebssystemversion als Geräte, die das Standard-Update erhalten, das einen Neustart erfordert. Hotpatch-Aktualisierungen erfolgen in einem vierteljährlichen Zyklus:
- Kumulativer Baseline-Monat: Im Januar, April, Juli und Oktober installieren die Geräte das monatliche feste Sicherheitsupdate und starten neu. Dieses Update enthält die neuesten Sicherheitskorrekturen, kumulative neue Funktionen und Verbesserungen seit der letzten kumulativen Basisaktualisierung.
- Die darauffolgenden zwei Monate: Die Geräte erhalten Hotpatch-Updates, die nur Sicherheitsupdates enthalten und keinen Neustart erfordern. Diese Geräte holen die Funktionen und Verbesserungen mit dem nächsten kumulativen Baseline-Monat (vierteljährlich) nach.
Dieser Zyklus reduziert, dank der acht geplanten Hotpatch-Updates pro Jahr, die Anzahl der erforderlichen Neustarts für Windows-Updates von zwölf auf nur vier pro Jahr.
Voraussetzungen für Hotpatch-Updates
Um Hotpatch-Updates verarbeiten zu können, müssen folgende Voraussetzungen erfüllt sein.
- Ein Microsoft-Abonnement, das Windows 11 Enterprise E3, E5 oder F3, Windows 11 Education A3 oder A5 oder ein Windows 365 Enterprise-Abonnement umfasst.
- Geräte, auf denen Windows 11 Enterprise, Version 24H2 (Build 26100.2033 oder höher), ausgeführt wird und auf denen das aktuelle Basisupdate installiert ist.
- Eine x64-CPU, einschließlich AMD64 und Intel (Hinweis: Arm®64-Geräte befinden sich noch in der öffentlichen Vorschau).
- Microsoft Intune zur Verwaltung der Bereitstellung von Hotpatch-Updates mit einer Hotpatch-aktivierten Windows-Qualitätsupdate-Richtlinie.
Und zum Schluss muss noch die Virtualisierungsbasierte Sicherheit (VBS) aktiviert aktiviert sein.
MVP: 2013 – 2016
naja dann muss man nach nem Patch nicht unbedingt neu starten… ich bezweifel nur das die Patchqualität besser wird ;-P
Wenn bei jedem Patch wieder so Scheiße passiert wie bisher, kommst du um Neustarts eh nicht drumrum.
MS kriegt ja normale Patches schon nicht fehlerfrei über die Bühne,
So kann man das ganze zusammenfassen!
allein die grundvoraussetzungen für dieses hotpatching sagen mir, dass es bei uns nicht zum einsatz kommen wird. wenn das für den server dann auch so gilt, dann kanns bleiben wo es ist.
Die Logik hinter dem System ist also nicht das Patchen selber zu modernisieren, sondern einfach zwischendurch nur Update zu liefern die keinen Neustart benötigen?
Na da freut sich doch schon direkt jeder Sicherheitsanbieter wenn er der Chefetage in der Auswertung aufzeigen kann das auf den Systemen 2-3 Monate alte Sicherheitsrelevante Update fehlen….
Das das ganze nur über Intune eingesteuert werden kann, ist dahingehend gut, das nicht die normalen User als Betatester herhalten müssen.
Nein da fehlen keine Sicherheitsrelevanten Updates, die Updates brauchen einfach kein Neustart mehr. Gerade was Server angeht, die z.B Exchange oder SAP am laufen haben, nützlich da dann kein Neustart von Nöten sind.
Aber ich gebe dir Recht, Anforderung wie ein Scheunentor….
Auch was die Updatequalität angeht, wird sich nicht viel damit ändern, leider…
Wieso auch nicht, beim Windows Phone ging es ja auch ohne Neustart gleich weiter.
Hotpatching beim Server nur mit Abo
Für mich irgendwie ein komisches Feature für einen Desktop-PC:
– Warum sollte man einen normalen Windows 11 PC nicht 1x im Monat neustarten können?
– In der Regel sind auf Clients auch andere Anwendungsprogramme installiert, welche ggf. einen Neustart erfordern (non Microsoft). Dann hilft das Feature auch nichts
– Reboot tut gut, gerade bei einem normalen Client-PC
Ich sehe da irgendwie keinen Bedarf oder größere Vorteile für den Anwender, selbst wenn es die lange Liste an Voraussetzungen nicht geben würde. Einzig, dass die Sicherheitsupdates vielleicht ein paar Stunden ehr wirken bevor das Patch-Management ohnehin einen Reboot erzwingt.
Windows muss schon lange nicht mehr ständig neugestartet werden. Das galt auch schon für Windows 10. Ich starte meinen Rechner nur noch neu wenn Updates installiert werden. Drei Monate Dauerlauf am Stück sind bei mir die Regel und keine Seltenheit! Mit viel Arbeitsspeicher hat man dann schon alles was man ständig nutzt im Cache und die Kiste fluppt erst so richtig schön :) Allerding sehe ich auch kein Problem darin den Rechner mal kurz während dem Mittagessen neuzustarten.
Ich starte meinen Heim PC (Windows 11 Pro 23H2) 1x im Monat komplett neu. Der Neustart ist erzwungen durch Windows. Manchmal fordert auch meine AV Software dazu auf. Durchlaufen tut der dabei nicht. Bei Nichtgebrauch wird er in den Ruhezustand (S4) gefahren.
Aus diesem kann er dann "Geplante Tasks" ausführen. ProgDVB und der Mozilla Firefox Browser läuft dabei dauerhaft. In Frühschichtwochen nutze ich den PC als Radiowecker. Hitradio Ö3 wird über die TV Karte empfangen.
Ohne Meldung zum Neustart, würde ich den PC wahrscheinlich nicht neu starten.
Vorbereitung via demnächst "zeitnahes Hotpatching nur noch mit Microsoft Account" auf "alle Updates nur noch mit Microsoft Account" o.ä.? Irgendwie muss man die User ja in die Accounts zwingen.
Und wo ist der Tweak, um es auf W11 Home und Pro zu aktivieren?
es gibt imho keinen Tweak, wer auf W11 setzt, hat Zeit für einen Neustart…