Kurzer Nachtrag von Informationen, die mir bereits vorige Woche untergekommen sind. Microsoft hat das sogenannte Hotpatching für Windows 11 24H2/25H2 sowie Windows Server 2025 zum Standard erklärt. Offenbar hat sich die Testphase als ausreichend stabil erwiesen. Das Ganze soll ab Mai 2026 für "berechtigte Geräte" los gehen. Nachfolgend eine kurze Übersicht, für wen Hotpatching verfügbar und Standard ist.
Windows Hotpatching wird ab Mai 2026 Standard
Die Information, dass Sicherheitsupdates ab demnächst standardmäßig als Hotpatches ausgerollt werden, stammt bereits vom 9. März 2026. Die Ankündigung erfolgte im Windows Release Health Dashboard im Beitrag Windows Autopatch is enabling hotpatch updates by default (via).
Die Details lassen sich im Techcommunity-Beitrag Securing devices faster with hotpatch updates on by default vom 9. März 2026 nachlesen. Nachfolgend habe ich einige Kernpunkte rund um das Thema zusammen gestellt.
Hotpatching ab Mai 2026 in diesen Szenarien
Im Supportbeitrag gibt Microsoft bekannt, dass man ab dem Patchday, 12. Mai 2026, standardmäßig Sicherheitsupdates als Hotpatch bereitstellt, wenn folgende Bedingungen erfüllt sind.
- Es muss sich um Systeme mit Windows 11 24H2 oder Windows Server 2025 und höher handeln.
- Die Updates werden mittels Windows Autopatch über Intunes verwaltet. Alle Update-Richtlinien in Microsoft Intune basieren auf Windows Autopatch, welches die Konfiguration der Qualitätsupdate-Richtlinien berücksichtigt.
- Die standardmäßige Tenant-Einstellung gilt nur für Geräte, die keiner Qualitätsupdate-Richtlinie zugeordnet sind. Sprich: Administratoren können in Intunes für den Tenant jederzeit steuern, ob Geräte Hotpatches oder reguläre Sicherheitsupdates empfangen sollen.
- Die Geräte müssen die Voraussetzungen für Hotpatches erfüllen. Geräte, die diese Voraussetzungen nicht erfüllen, werden weiterhin auf die gleiche Weise wie bisher aktualisiert.
Diese Änderung des Standardverhaltens gilt ab dem Stichtag für alle berechtigten Geräte gemäß obiger Liste in Microsoft Intune sowie für solche, die über die Microsoft Graph-API auf den Dienst zugreifen. Bereits ab dem 1. April 2026 wird Microsoft Administratoren neue Steuerungsmöglichkeiten zur Verwaltung der Hotpatches bereitstellen.
Was steckt hinter Hotpatching?
Microsoft ist seit langer Zeit am Thema Hotpatching dran. Diese Update-Methode für Windows 11 (ab 24H2) und Windows Server 2025 ermöglicht es dem Betriebssystem, kritische Updates ohne den sonst erforderlichen Neustart zu installieren. Ich hatte im Blog-Beitrag Windows 11 24H2 soll wohl "Hotpatching" (Update-Installation ohne Neustart) bekommen die Randbedingungen skizziert.
- Es soll vier monatliche Sicherheitsupdates pro Jahr, und zwar im Januar, April, Juli und Oktober, geben, die einen Neustart erfordern.
- Die anderen Monate werden über Hot Patching versorgt, die dann keinen Neustart des Betriebssystems erfordern sollen.
- Größere Sicherheitsupdates, Bug-Fix-Updates zur Fehlerbehebung und Funktionsupdates, die bei Bedarf jederzeit bereitgestellt werden können, erfordern auch außerhalb der oben angegebenen Monate einen Neustart.
Microsoft verspricht sich davon, dass Unternehmen ihre Clients und Server schneller auf den aktuellen Level mit Sicherheitspatches bringen können. Weiterhin sollen Hotpatches auch zu kleineren Update-Paketen führen. Das Ganze wird in Windows 11 24H2 Enterprise seit April 2025 angeboten (siehe Windows 11 24H2: Hotpatching nun verfügbar). Laut Microsoft sind aktuell über 10 Millionen Produktionsgeräte für Hotpatch-Updates registriert.
Sofern ich die Diskussionen hier im Blog richtig deute, wird die Notwendigkeit von Hotpatches für Windows 11 Clients noch nicht so richtig gesehen – Clients lassen sich i.d.R. problemlos einmal im Monat neu booten, um Updates zu installieren. Hier verhindert i.d.R. die Update-Qualität Microsofts die schnelle Installation von Sicherheitsupdates durch Administratoren. Diese warten erst, ob es Berichte über Kollateralschäden gibt, bevor sie größere Flotten mit Clients aktualisieren lassen.
Bei Windows Server 2025 könnte Hotpatching Sinn machen – dort hat Microsoft aber eine Hürde eingebaut, indem man dieses Feature m.W. kostenpflichtig gemacht hat (siehe Windows Server 2025: Hotpatching ab 1. Juli 2025 kostenpflichtig).
Wer sich für das Thema interessiert bzw. davon tangiert ist, kann die Details im Techcommunity-Beitrag Securing devices faster with hotpatch updates on by default vom 9. März 2026 nachlesen. Wie eure Einschätzung aus Sicht der Administratoren: Werdet ihr das Feature einsetzen?
Ähnliche Artikel
Windows 11 24H2 soll wohl "Hotpatching" (Update-Installation ohne Neustart) bekommen
Windows 11 24H2: Hotpatching nun verfügbar
Windows Server 2025: Hotpatching ab 1. Juli 2025 kostenpflichtig
MVP: 2013 – 2016
Das ist zwar nett, aber dazu müsste der Server 2025 erstmal reif für Produktionsbetrieb sein.
Hotpatching funktioniert nicht mit NET, Treibern oder CHPE (Compiled Hybrid Portable Executable, Arm64).
Da es aber monatliche Updates für NET Desktop und ASP.NET gibt, frage ich mich wie das funktionieren soll ohne Reboot.
Falls die NET-Updates in dem Hotpatch integriert sind, dann wird man aufgefordert, die Programme zu beenden, welche NET benutzen, was auch einem Reboot gleichkommt.
Falls die NET Updates nicht im Hotpatch enthalten sind, dann hat man die Sicherheitslücken weiter im System bis zum nächsten Baseline-Update, also für mehrere Monate.