Hotpatching in Windows Server 2025
Störungsfreier Betrieb
Veröffentlicht in Ausgabe 03/2025 - PRAXIS
Die Hotpatching-Technologie modifiziert den im Arbeitsspeicher befindlichen Code laufender Prozesse direkt, wodurch die Notwendigkeit eines Neustarts entfällt. Ein wesentlicher Vorteil besteht in der Reduktion von Ausfallzeiten, da Server kontinuierlich betriebsbereit bleiben und sich Sicherheitsupdates zeitnah implementieren lassen.
Allerdings gibt es auch eine Reihe von Einschränkungen: Es ist nicht so, dass alle Windows-Updates nach Aktivierung der Funktion per Hotpatch auf das System gelangen und damit Neustarts nicht mehr notwendig sind. Es unterstützen nur einige Updates diese Technik, in Zukunft vermutlich vor allem solche des regelmäßigen Patchdays. Da nicht alle Aktualisierungen Hotpatching unterstützen, sind auch in Zukunft Neustarts notwendig, sodass sich der Nutzen durchaus relativiert. Das ist aber nur ein Teil der Einschränkungen, weitere lernen wir im Verlauf des Artikels kennen.
Hotpatching erfordert Microsoft Azure
In Windows Server 2022 ist für den Einsatz von Hotpatching die Lizenz "Datacenter Azure Edition" notwendig, die in Azure oder Azure Stack HCI laufen musste. Zwar lässt sich Hotpatching in Zukunft auch in lokalen Rechenzentren in den Editionen Standard und Datacenter nutzen, dennoch ist eine Anbindung an Azure notwendig.
Die Hotpatching-Technologie modifiziert den im Arbeitsspeicher befindlichen Code laufender Prozesse direkt, wodurch die Notwendigkeit eines Neustarts entfällt. Ein wesentlicher Vorteil besteht in der Reduktion von Ausfallzeiten, da Server kontinuierlich betriebsbereit bleiben und sich Sicherheitsupdates zeitnah implementieren lassen.
Allerdings gibt es auch eine Reihe von Einschränkungen: Es ist nicht so, dass alle Windows-Updates nach Aktivierung der Funktion per Hotpatch auf das System gelangen und damit Neustarts nicht mehr notwendig sind. Es unterstützen nur einige Updates diese Technik, in Zukunft vermutlich vor allem solche des regelmäßigen Patchdays. Da nicht alle Aktualisierungen Hotpatching unterstützen, sind auch in Zukunft Neustarts notwendig, sodass sich der Nutzen durchaus relativiert. Das ist aber nur ein Teil der Einschränkungen, weitere lernen wir im Verlauf des Artikels kennen.
Hotpatching erfordert Microsoft Azure
In Windows Server 2022 ist für den Einsatz von Hotpatching die Lizenz "Datacenter Azure Edition" notwendig, die in Azure oder Azure Stack HCI laufen musste. Zwar lässt sich Hotpatching in Zukunft auch in lokalen Rechenzentren in den Editionen Standard und Datacenter nutzen, dennoch ist eine Anbindung an Azure notwendig.
Für den Einsatz des Hotpatching müssen Sie zunächst Virtual Based Security (VBS) in Windows Server 2025 aktivieren. Das geht zum Beispiel über den Bereich "Sicherheit / Secure Core" im Windows Admin Center (WAC). VBS nutzt die Hyper-V-Virtualisierungstechnologie, um sicherheitskritische Prozesse in eine isolierte Umgebung zu verlagern. VBS trennt dabei besonders sensible Daten und Prozesse von der regulären Betriebssystemumgebung, was die Angriffsmöglichkeiten stark einschränkt.
Durch die Kombination von VBS mit Funktionen wie Credential Guard schützt Windows Server 2025 Zugangsdaten, indem es deren Verarbeitung in eine virtualisierte Umgebung verlagert und so das Risiko von Credential-Theft-Angriffen minimiert. Neu in Server 2025 ist die erweiterte Integration von VBS in Multi-Tenant-Umgebungen, die nun eine verbesserte Isolation zwischen verschiedenen Tenant-Daten ermöglicht und gleichzeitig die Performance optimiert. Zudem bietet Server 2025 durch zusätzliche Konfigurationsoptionen eine höhere Flexibilität bei der Implementierung und erleichtert Administratoren die Verwaltung und Überwachung der VBS-Instanzen.
Für die eigentliche Konfiguration von Hotpatching unter Windows Server 2025 kommen keine Gruppenrichtlinien oder Einstellungen in Windows-Update zum Einsatz, sondern das Azure-Portal. Zunächst müssen Sie daher den vorinstallierten Assistenten für Azure Arc auf dem Server durcharbeiten und damit den Server an Azure anbinden.
Eine weitere Einschränkung besteht darin, dass Hotpatching nicht kostenlos ist, sondern als Abonnement daherkommt. Es ist daher eine Azure-Subskription notwendig und zusätzlich fallen Kosten für das Hotpatching selbst an. Nur Unternehmen, die auf Azure Stack HCI setzen oder Windows-Server in Azure betreiben, erhalten die Technologie kostenlos.
Sobald Sie den Azure-Arc-Assistenten durchgearbeitet haben, lässt sich Hotpatching über wenige Klicks im Objekt des Servers innerhalb von Azure aktivieren. Es stehen keine Einstellungs- oder Benachrichtigungsfunktionen zur Verfügung. Im Grunde genommen starten Sie das Hotpatching und überprüfen danach in Windows-Update ab und zu, ob Updates über diesen Weg eingespielt wurden. In den meisten Fällen eignet sich die Funktion daher vor allem für hochverfügbare Cluster in größeren Umgebungen und eher weniger für kleine und mittlere Unternehmen.
Architektur und technische Umsetzung
Die durch Hotpatching aktualisierten Codeabschnitte lädt das System in einen separaten Speicherbereich, ohne die Originaldateien auf der Festplatte direkt zu modifizieren. Das Betriebssystem leitet alle Aufrufe des alten Codes auf die neuen Speicherbereiche um. Der Kernel überwacht die betroffenen Speicherbereiche und implementiert sogenannte Hooks, die sicherstellen, dass sich der neue Code nahtlos integriert. Vor dem Laden der Hotpatch-Dateien erfolgt eine Validierung mittels kryptografischer Signaturen. Diese stellen sicher, dass nur von Microsoft signierte und geprüfte Patches zum Einsatz kommen.
Page Table Entries (PTE) spielen eine entscheidende Rolle beim Hotpatching in Windows Server 2025, indem sie den direkten Zugriff auf Speicherseiten ermöglichen, die ein entsprechender Patch nutzt. Hotpatching erlaubt es, sicherheitsrelevante Updates ohne Neustart des Systems anzuwenden, indem der Arbeitsspeicher gezielt modifiziert wird. PTEs steuern hierbei, welche Speicherbereiche einer Anwendung oder eines Prozesses zugeordnet sind und ermöglichen das Mapping von neuen Codeabschnitten in den Speicher, ohne die bestehende Ausführung zu beeinträchtigen.
Anstatt komplette Bibliotheken austauschen zu müssen, erlaubt die überarbeitete Architektur das Patchen einzelner Funktionen innerhalb einer Bibliothek. Dies führt zu einer deutlichen Reduktion der Updategröße. Darüber hinaus unterstützt Hotpatching sicherheitskritische Kernel-Treiber, die in früheren Versionen einen Neustart erforderlich machten. Diese erweiterte Kernel-Unterstützung verbessert die Effizienz und Flexibilität der Updateprozesse. Ein weiteres Highlight ist die Speicheroptimierung: Alte Codesegmente verbleiben so lange im Speicher, wie Abhängigkeiten bestehen und werden erst nach einer festgelegten Zeit entfernt. Dieses Vorgehen minimiert das Risiko von Abstürzen laufender Prozesse. Zusätzlich profitieren Admins von einer verbesserten Integration mit Monitoringtools.
Der typische Workflow für ein Hotpatch-Update beginnt mit dem Bereitstellen über das Windows-Update-System. Nach dem Download analysiert der Server den Patch, validiert die Signaturen und lädt die neuen Komponenten in den Speicher. Anschließend setzt der Kernel Hooks, die alle relevanten Systemaufrufe auf die neuen Codeabschnitte umleiten. Ein Integritätscheck stellt sicher, dass die Änderungen korrekt übernommen wurden. Schließlich entfernt Windows 2025 alte Codesegmente nach einer bestimmten Zeit aus dem Speicher, sofern keine Abhängigkeiten mehr bestehen.
Trotz dieser Vorteile stößt Hotpatching auch an Grenzen. In komplexen Umgebungen können Abhängigkeiten zwischen Komponenten zu Problemen führen, wenn sich mehrere Teile nicht gleich- zeitig patchen lassen. Zusätzlich entsteht durch die eingesetzten Hooks und Speicherumleitungen in manchen Szenarien ein leichter Performance-Overhead, der zu einer erhöhten CPU- und Speicherbelastung führen kann. Zudem lassen sich nicht alle Updates als Hotpatch umsetzen. Änderungen an grundlegenden Boot-Komponenten erfordern weiterhin einen Neustart.
Hotpatching beim Neustart des Servers
Die Hotpatch-Updates, die bisher nur im Arbeitsspeicher aktiv sind, integriert Windows dauerhaft in das Betriebssystem, wenn der Server neu startet. Dabei synchronisiert das OS die aktualisierten Komponenten, die temporär im Speicher lagerten, mit den entsprechenden Dateien auf der Festplatte. Somit bleibt der gepatchte Zustand auch nach dem Neustart erhalten.
Nach dem Neustart entfernt das System alle Hooks und Umleitungen, die während des laufenden Betriebs für die Hotpatches bereitstanden. Da die neuen Versionen der Komponenten direkt als primäre, ausführbare Dateien vorliegen und keine Umleitungen mehr erforderlich sind, benötigt Windows die Hooks nicht mehr. Bei sicherheitskritischen Updates des Kernels oder bei Treibern, die zwar im laufenden Betrieb gepatcht, aber noch nicht vollständig aktiv waren, lädt das System die neuen Versionen beim Neustart. Diese initialisiert Windows dann direkt als Teil des Boot-Prozesses. Sollte ein Hotpatch-Update fehlerhaft sein oder Inkompatibilitäten verursachen, bietet der Neustart eine Möglichkeit, das System in einen stabilen Zustand zurückzusetzen.
Die Vorteile von Hotpatching liegen natürlich in der geringeren Anzahl von Neustarts und kleineren Updates. Wartungsfenster verkürzen sich und Updates sind schneller installiert. Im Rahmen des Hotpatching unterbricht Windows keine Dienste, sodass diese trotz der Installation im Hintergrund weiterlaufen. Je mehr Server im Einsatz sind, desto eher lohnt sich Hotpatching durch die Gesamtzahl der reduzierten Zeitspannen bei Updates. Große Netzwerke profitieren daher überproportional von der neuen Funktion.
IT-Administrator Sonderheft "Windows Server 2025"
Microsofts neues Serverbetriebssystem stellt Sicherheit, Virtualisierung und den hybriden Cloudbetrieb in den Fokus seiner Neuerungen. Dem Einrichten und der Administration dieser Features widmet sich das Autorenteam im IT-Administrator Sonderheft "Windows Server 2025 – Verwaltung, Cloud und Security" ausführlich. Aber auch klassische Administrationsaufgaben in Sachen Active Directory, Hyper-V, Storage und Gruppenrichtlinien sind Teil der neuen Sonderausgabe.Im Detail erklären unsere Experten zunächst lokale Verwaltungsaufgaben rund um die Migration zu Windows Server 2025, dem Design und Aufbau des AD sowie dem Patchmanagement. Einen eigenen Schwerpunkt bildet im Sonderheft die Virtualisierung mit Hyper-V, in dem wir unter anderem einen Hyper-V-Cluster einrichten, S2D in Betrieb nehmen, aber auch die Remotedesktop-Dienste optimieren. Daran anschließend besprechen wir einige der wichtigsten Cloud- und Hybrid-Szenarien mit Windows Server 2025 und Azure. Beim Thema Sicherheit erläutern die Experten den richtigen Einsatz der Windows-Bordmittel und zahlreicher anderer Werkzeuge, um Bedrohungen abzuwehren. Darunter findet sich zudem eine ausführliche Anleitung zu Public-Key- Infrastrukturen in AD-Umgebungen.Das Sonderheft ist ab Ende April 2025 verfügbar und kostet für Abonnenten des IT-Administrator 24,90 Euro, für Nicht-Abonnenten werden 29,90 Euro fällig.
Azure Arc als Basis für Hotpatching
In Windows Server 2025 steht im Tray-Bereich der Taskleiste das Icon für das Einrichten von Azure Arc zur Verfügung. Mit diesem Vorgang installieren Sie auf dem Server den "Azure Connected Machine-Agent" und danach erfolgt mit "Konfigurieren" das Einrichten der Verbindung. Steht die Kommunikation zwischen dem lokalen Server und Azure, ist es möglich, den Server über das Windows Admin Center im Azure-Portal genauso zu verwalten wie im lokalen Rechenzentrum. Ein VPN ist dazu nicht notwendig, die Verbindung läuft über den eben eingespielten Agenten.
Azure Arc ist ein Dienst in Azure, mit dem Admins lokale Server über einen Agenten an Azure anbinden. Dadurch ist es mobil möglich, über den Webbrowser und das Azure-Portal die Server abzusichern, zu verwalten, zu überwachen und mit dem WAC genauso zu steuern wie im lokalen Netzwerk. Spezielle Dienste wie eben das Hotpatching lassen sich erst nach der Anbindung an Azure Arc im Azure-Portal aktivieren. Die Verbindung zwischen lokalen Servern und Azure über den auf dem Server installierten Azure Connected Machine Agent vermeidet zudem die Notwendigkeit eines VPNs. Gleichzeitig sind Sie in der Lage, von überall auf den Server zuzugreifen und ihn an Dienste in Azure anzubinden oder remote zu verwalten und zu überwachen.
Neben einzelnen Servern, die mit dem Agenten angebunden sind, lassen sich im Azure-Portal über "Azure Arc / Server" auch die Server aus der Updateverwaltung an Azure Arc anbinden und damit zentral verwalten. Um mehrere Maschinen aus einem Rechenzentrum auf einmal an Azure Arc anzubinden, nutzen Sie ein Skript, das Sie bei "Mehrere Server hinzufügen" über "Skript generieren" erzeugen. Im zugehörigen Fenster geben Sie die entsprechenden Daten ein, die für die Server gelten, und laden danach das Skript herunter.
Das Anbinden an Azure Arc bietet zudem weitere Vorteile: Durch das Verknüpfen lokaler Server mit der Cloud können Unternehmen im lokalen Rechenzentrum von Azure-Diensten profitieren. Beispiele dafür sind die Bereitstellung von verwalteten SQL-Instanzen, PostgreSQL, Web-Apps oder Low-Code-Anwendungen. Dergestalt lassen sich IT-Umgebungen leicht skalieren, ohne dass Sie umfassende Cloudinfrastrukturen buchen müssen oder Daten aus dem lokalen Rechenzentrum in die Cloud zu migrieren sind.
Hotpatching aktivieren
In der Update-Steuerung zeigt Windows Server 2025 in der Benutzeroberfläche an, ob Updates mit Hotpatching installiert wurden. Außerdem informiert Sie der Status "Hotpatch capable" bei Updates, dass die Installation mit Hotpatching möglich ist. Im Rahmen der gezeigten Konfiguration der Azure-Arc-Verbindung erfolgt die Anmeldung am Azure-Portal. Im Anschluss wird die Verbindung noch abgeschlossen und der Server ist mit dem Azure-Portal verbunden.
Ist dieser Vorgang erfolgreich, zeigt dies der Assistent an und nun ist Ihr Server im Azure-Portal zu finden. Unten im Fenster lässt sich die Funktion nun durch wenige Klicks einrichten. Da wie eingangs erläutert für Hotpatching Virtual Based Security auf dem Server notwendig ist, prüfen Sie nun, ob VBS aktiv und konfiguriert ist. Dies erledigen Sie im Windows Admin Center nach der Verbindung zum Server über "Sicherheit / Secured-Core". Ist VBS aktiv, lässt sich der Server für Hotpatching durch das Bestätigen der Option "Ich möchte diesen Windows Server lizenzieren, um monatliche Hotpatches zu erhalten" aktivieren. Dieser Vorgang dauert zwischen fünf und zehn Minuten und anschließend ist der Status im Fenster ersichtlich. Bei "Hotpatch" zeigt das Azure-Portal für den Server im Anschluss den Status "Aktiviert" an. In den Einstellungen können Sie Hotpatching jederzeit wieder deaktivieren.
Die Kosten für das Hotpatching hängen von Ihrer Lizenzierung ab. Allerdings braucht jeder Hotpatch-aktivierte Server mit Windows Server 2025 zusätzlich ein laufendes Abonnement dieser Funktion. Die Lizenzierung erfolgt getrennt von der des Servers selbst als eigener Dienst und eigenes Abonnement. Admins können auch nur für einzelne Server Hotpatching aktivieren. Dadurch profitieren spezielle Server von der Technik, während andere Maschinen weiterhin herkömmlich Updates installieren. Der Preis orientiert sich am Azure Update Manager und liegt bei 5 US-Dollar pro Server und Monat.
Auch Windows 11 bekommt Hotpatching
Künftig soll auch Windows 11 eine Hotpatch-Funktion erhalten [1]. Dabei aktualisiert sich das Betriebssystem ohne Neustart. Es gibt aber einige Einschränkungen, die Admins beachten müssen: Die Technologie integriert Updates direkt in den Arbeitsspeicher aktiver Prozesse, genauso wie in Server 2025. Bei Windows 11 wird es vermutlich vor allem um die monatlich zum Patchday erscheinenden kumulativen Updates gehen. Microsoft geht davon aus, dass dies notwendige Neustarts von zwölf auf vier reduziert. Es ist also nicht so, dass Windows 11 gar nicht mehr neu gestartet werden muss. Dazu kommt, dass wohl nur Windows 11 Enterprise Hotpatching erhält, die anderen Editionen sind außen vor. Ob auf Dauer auch Windows 11 Pro von den Vorteilen profitiert, ist derzeit nicht klar.
Außerdem muss der Rechner an Azure angebunden sein, dazu ist ein Abonnement von "Windows 11 Enterprise E3/E5" (Microsoft 365 A3/A5 oder Microsoft 365 F3) oder eines von Windows 365 erforderlich. Auf solchen Rechnern muss mindestens Windows 11 24H2 installiert sein und die Verwaltung muss über Microsoft Intune erfolgen.
Abschließend ist noch wichtig zu wissen, dass Hotpatching einem Jahreszyklus folgt. Im ersten Monat jedes Kalenderquartals (Januar, April, Juli und Oktober) erhalten die Geräte das reguläre kumulative Sicherheitsupdate, gefolgt von einem Neustart. Diese Aktualisierungen umfassen Sicherheitskorrekturen sowie neue Funktionen und Erweiterungen. In den darauffolgenden zwei Monaten erhalten die Server Hotpatch-Updates, die ausschließlich sicherheitsrelevante Aktualisierungen enthalten. Diese werden direkt angewendet, ohne dass ein Neustart erforderlich ist. Mit Beginn des nächsten Quartals startet der Zyklus erneut.
Fazit
Das Hotpatching in Windows Server 2025 bietet eine Möglichkeit, sicherheitskritische Updates ohne Neustart zu implementieren und damit Ausfallzeiten zu reduzieren. Insbesondere für hochverfügbare Umgebungen und größere Netzwerke eröffnet diese Technik neue Möglichkeiten zur Optimierung von Wartungsprozessen. Dennoch relativiert sich der Nutzen durch Einschränkungen wie die begrenzte Unterstützung von Updates und der Notwendigkeit eines kostenpflichtigen Azure-Abonnements. Für Unternehmen, die auf Azure-Infrastrukturen setzen, stellt Hotpatching eine wertvolle Ergänzung dar, während IT-Verantwortliche in kleineren Umgebungen sorgfältig abwägen müssen, ob die Vorteile die zusätzlichen Kosten rechtfertigen. Letztlich bleibt Hotpatching ein Schritt in Richtung effizienterer Systemwartung, der jedoch nicht alle bestehenden Herausforderungen vollständig eliminiert.
(jp)
Link-Codes