Kurzer Nachtrag von Informationen, die mir bereits vorige Woche untergekommen sind. Microsoft hat das sogenannte Hotpatching für Windows 11 24H2/25H2 sowie Windows Server 2025 zum Standard erklärt. Offenbar hat sich die Testphase als ausreichend stabil erwiesen. Das Ganze soll ab Mai 2026 für "berechtigte Geräte" los gehen. Nachfolgend eine kurze Übersicht, für wen Hotpatching verfügbar und Standard ist.
Windows Hotpatching wird ab Mai 2026 Standard
Die Information, dass Sicherheitsupdates ab demnächst standardmäßig als Hotpatches ausgerollt werden, stammt bereits vom 9. März 2026. Die Ankündigung erfolgte im Windows Release Health Dashboard im Beitrag Windows Autopatch is enabling hotpatch updates by default (via).
Die Details lassen sich im Techcommunity-Beitrag Securing devices faster with hotpatch updates on by default vom 9. März 2026 nachlesen. Nachfolgend habe ich einige Kernpunkte rund um das Thema zusammen gestellt.
Hotpatching ab Mai 2026 in diesen Szenarien
Im Supportbeitrag gibt Microsoft bekannt, dass man ab dem Patchday, 12. Mai 2026, standardmäßig Sicherheitsupdates als Hotpatch bereitstellt, wenn folgende Bedingungen erfüllt sind.
- Es muss sich um Systeme mit Windows 11 24H2 oder Windows Server 2025 und höher handeln.
- Die Updates werden mittels Windows Autopatch über Intunes verwaltet. Alle Update-Richtlinien in Microsoft Intune basieren auf Windows Autopatch, welches die Konfiguration der Qualitätsupdate-Richtlinien berücksichtigt.
- Die standardmäßige Tenant-Einstellung gilt nur für Geräte, die keiner Qualitätsupdate-Richtlinie zugeordnet sind. Sprich: Administratoren können in Intunes für den Tenant jederzeit steuern, ob Geräte Hotpatches oder reguläre Sicherheitsupdates empfangen sollen.
- Die Geräte müssen die Voraussetzungen für Hotpatches erfüllen. Geräte, die diese Voraussetzungen nicht erfüllen, werden weiterhin auf die gleiche Weise wie bisher aktualisiert.
Diese Änderung des Standardverhaltens gilt ab dem Stichtag für alle berechtigten Geräte gemäß obiger Liste in Microsoft Intune sowie für solche, die über die Microsoft Graph-API auf den Dienst zugreifen. Bereits ab dem 1. April 2026 wird Microsoft Administratoren neue Steuerungsmöglichkeiten zur Verwaltung der Hotpatches bereitstellen.
Was steckt hinter Hotpatching?
Microsoft ist seit langer Zeit am Thema Hotpatching dran. Diese Update-Methode für Windows 11 (ab 24H2) und Windows Server 2025 ermöglicht es dem Betriebssystem, kritische Updates ohne den sonst erforderlichen Neustart zu installieren. Ich hatte im Blog-Beitrag Windows 11 24H2 soll wohl "Hotpatching" (Update-Installation ohne Neustart) bekommen die Randbedingungen skizziert.
- Es soll vier monatliche Sicherheitsupdates pro Jahr, und zwar im Januar, April, Juli und Oktober, geben, die einen Neustart erfordern.
- Die anderen Monate werden über Hot Patching versorgt, die dann keinen Neustart des Betriebssystems erfordern sollen.
- Größere Sicherheitsupdates, Bug-Fix-Updates zur Fehlerbehebung und Funktionsupdates, die bei Bedarf jederzeit bereitgestellt werden können, erfordern auch außerhalb der oben angegebenen Monate einen Neustart.
Microsoft verspricht sich davon, dass Unternehmen ihre Clients und Server schneller auf den aktuellen Level mit Sicherheitspatches bringen können. Weiterhin sollen Hotpatches auch zu kleineren Update-Paketen führen. Das Ganze wird in Windows 11 24H2 Enterprise seit April 2025 angeboten (siehe Windows 11 24H2: Hotpatching nun verfügbar). Laut Microsoft sind aktuell über 10 Millionen Produktionsgeräte für Hotpatch-Updates registriert.
Sofern ich die Diskussionen hier im Blog richtig deute, wird die Notwendigkeit von Hotpatches für Windows 11 Clients noch nicht so richtig gesehen – Clients lassen sich i.d.R. problemlos einmal im Monat neu booten, um Updates zu installieren. Hier verhindert i.d.R. die Update-Qualität Microsofts die schnelle Installation von Sicherheitsupdates durch Administratoren. Diese warten erst, ob es Berichte über Kollateralschäden gibt, bevor sie größere Flotten mit Clients aktualisieren lassen.
Bei Windows Server 2025 könnte Hotpatching Sinn machen – dort hat Microsoft aber eine Hürde eingebaut, indem man dieses Feature m.W. kostenpflichtig gemacht hat (siehe Windows Server 2025: Hotpatching ab 1. Juli 2025 kostenpflichtig).
Wer sich für das Thema interessiert bzw. davon tangiert ist, kann die Details im Techcommunity-Beitrag Securing devices faster with hotpatch updates on by default vom 9. März 2026 nachlesen. Wie eure Einschätzung aus Sicht der Administratoren: Werdet ihr das Feature einsetzen?
Ähnliche Artikel
Windows 11 24H2 soll wohl "Hotpatching" (Update-Installation ohne Neustart) bekommen
Windows 11 24H2: Hotpatching nun verfügbar
Windows Server 2025: Hotpatching ab 1. Juli 2025 kostenpflichtig
MVP: 2013 – 2016
Das ist zwar nett, aber dazu müsste der Server 2025 erstmal reif für Produktionsbetrieb sein.
Wo hängt es bei dir? Habe schon ca. 20 Server 2025 in Betrieb und bisher noch keine größeren Probleme.
Wie war das, meine Information ist, dass Hotpatching bei Windows Server 2025 kostenpflichtig ist. Hat Microsoft das Ansinnen zurück gezogen?
Hotpatching funktioniert nicht mit NET, Treibern oder CHPE (Compiled Hybrid Portable Executable, Arm64).
Da es aber monatliche Updates für NET Desktop und ASP.NET gibt, frage ich mich wie das funktionieren soll ohne Reboot.
Falls die NET-Updates in dem Hotpatch integriert sind, dann wird man aufgefordert, die Programme zu beenden, welche NET benutzen, was auch einem Reboot gleichkommt.
Falls die NET Updates nicht im Hotpatch enthalten sind, dann hat man die Sicherheitslücken weiter im System bis zum nächsten Baseline-Update, also für mehrere Monate.
wtf: A restart has never been required for the .NET Runtimes under version 25H2.
Den Trick musst du mir mal verraten, wie das funktionieren soll.
Laufen bei dir keine Programme, die NET benutzen?
Wenn solche Programme laufen und du willst NET updaten, dann kommt ein neuer Dialog mit der Liste dieser NET Programme und mit der Auswahl, entweder diese automatisch vor dem Update zu schließen oder nach dem Update einen Neustart durchzuführen.
Das gilt für ASP.NET und NET Desktop.
Bei NET Framework wird nach dem Update noch dringlicher auf einen Neustart gedrängt.
Das gilt allerdings noch für Windows 10 LTSC 2021 und 22H2.
Hat sich das bei Windows 11 25H2 tatsächlich grundlegend verändert? Kann ich nicht glauben.
Wie hat Microsoft denn die NET Programme von dem benutzten NET Framework bzw Desktop bzw ASP abgekoppelt, so dass diese nicht mehr neu gestartet werden müssen?
Beispiele:
Technitium DNS Server benutzt das ASP.NET 9.
Versuch mal NET upzudaten, ohne das es da Probleme mit Technitium gibt.
Die DnsServerSystemTrayApp.exe ist nach dem NET-Update nicht mehr im Taskmanager da und muss neu gestartet werden.
Starte ein beliebiges Programm, das NET Framework benutzt und update NET Framework.
Wie schaffst du das ohne Neustart hinterher?
Einzige Ausnahmen sind Programme wie Paint.NET, weil diese ihre eigenen NET-Runtimes im eigenen Ordner mitbringen und nicht auf die NET Runtimes aus den Betriebssystemordnern angewiesen sind. Das hat allerdings den Nachteil, dass dann die Sicherheitslücken nicht gefixt werden, wenn man die NET Runtimes im OS updatet.
Genausowenig kann man die JAVA Runtime erneuern, während noch JAVA Programm gestartet sind.
Wenn man vor einem NET-Update zuerst alle laufende NET-Programe beenden muss, dann ist das nicht der Sinn und Zweck von Hotpatching. Wenn man alles beenden muss, dann kann man genausogut auch neustarten.
Hotpatching mit NET funktioniert nicht.
Bitte mal das Gegenteil belegen.
Wo sind denn die monatlichen .NET Updates?
Das letzte kumulative .NET Framework 3.5 und 4.8.1 ist bspw. in 2025-10 gewesen. ;)
Seither gab es nur die kleinen .NET Updates for Server oder Clients.
"NET" ist nicht gleichbedeutend mit "NET Framework", sondern es gibt auch noch "NET Desktop", "ASP.NET".
Seit einschließlich Version 5 heißt "NET" nicht mehr "Framework".
Für NET Desktop und ASP.NET gibt es monatliche Updates dort und diese gab es regelmäßig in jedem Monat, im Gegensatz zur Updatefrequenz vom Framework:
Microsoft .NET Desktop Runtime 8.0.25
Microsoft ASP.NET Core Runtime 8.0.25
*ttps://dotnet.microsoft.com/en-us/download/dotnet/8.0
Microsoft .NET Desktop Runtime 9.0.14
Microsoft ASP.NET Core Runtime 9.0.14
*ttps://dotnet.microsoft.com/en-us/download/dotnet/9.0
Microsoft .NET Desktop Runtime 10.0.4
Microsoft ASP.NET Core Runtime 10.0.4
*ttps://dotnet.microsoft.com/en-us/download/dotnet/10.0
Hi,
war es nicht so, dass für Autopatch erweiterte Telemetriedaten erforderlich sind? Dürfte in Europa mit DSGVO schwierig sein, oder?