Windows Server 2025 Hotpatch by Azure Arc

Windows Server 2025 Hotpatch by Azure Arc

Windows Server 2025 ohne Reboot patchen? Na klar, mit Hotpatch – dank Azure Arc! Hier ein kleines, flottes How-To, um idealerweise mit vier Reboots im Jahr für Windows Updates über die Runden zu kommen.

Welche Voraussetzungen gibt es für Hotpatch?

Mit diesem PowerShell Einzeiler wird geprüft, ob der Virtual Secure Mode aktiv ist. Das Ergebnis muss „2“ sein:

Get-CimInstance -Namespace "root/Microsoft/Windows/DeviceGuard" `
    -ClassName "Win32_DeviceGuard" |
        Select-Object -ExpandProperty "VirtualizationBasedSecurityStatus"

# Output:
2

Ist der Wert nicht 2, wäre der sinnvollste Weg wohl die Implementierung der Microsoft Security Baseline. Das ist beispielsweise per Gruppenrichtlinien aus dem Security Compliance Toolkit möglich oder auch per OSConfig. Plan B für einen ersten Test von Hotpatch:

New-ItemProperty -Path "HKLM:\System\CurrentControlSet\Control\DeviceGuard" `
    -Name "EnableVirtualizationBasedSecurity" `
    -PropertyType "Dword" `
    -Value 1 `
    -Force

# Ein Reboot wird benötigt
Restart-Computer
Onboarding Azure Arc per Connected Machine Agent:

Sobald die Vorbereitungen erledigt sind, schauen wir im Azure Portal vorbei und wechseln in „Azure Arc“ -> „Machines“ bzw. nutzen diesen Link: Azure Arc – Microsoft Azure

  1. Über den Button „+ Add/Create“ -> „Add machine“ erstellen wir das Script zum Onboarding
  2. Im nächsten Schritt erstellen wir das Script, um einen einzelnen Server hinzuzufügen
  3. Die geforderten Informationen werden entsprechend eingegeben
  4. Die Hinweise zur Location sind Kür. Können aber im größren Stil sicherlich hilfreich sein. Daher pflegen!
  5. Jetzt nur noch das Script runterladen oder auf den Server kopieren
  6. Script in einer administrativen PowerShell ausführen und kurz warten
Der letzte Akt – Akitivierung Hotpatch

Jetzt wechseln wir zurück in die Azure Arc Verwaltung und wählen erneut „Machines“ aus und sollten dort die soeben hinzugefügte Windows Server 2025 VM sehen. Um Hotpatch jetzt zu aktivieren, klicken wir die Maschine an und wählen die „Capability“ Hotpatch (Preview) im derzeitigen Status „Not enrolled“ . An dieser Stelle findet dann übrigens eine Prüfung statt, ob Virtual Based Security (VBS) aktiv ist. Nicken wir jetzt noch „I want to license this Windows Server to receive monthly hotpatches“ ab, steht dem Vergnügen (nach ca. 10 Minuten Wartezeit) nichts mehr im Weg – Yay!

Enable Hotpatch in Azure Arc


Die gesuchte Lösung noch nicht gefunden oder benötigen Sie Hilfe bei anderen Themen aus meinem Blog? Nehmen Sie gerne Kontakt mit mir bzw. meinem Unternehmen Jan Mischo IT auf. Ich freue mich auf Ihre Anfrage: https://janmischo.it/kontakt/


+49 2801 7004300

info@janmischo.it


Beitrag veröffentlicht

in

von

Kommentare

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Diese Seite verwendet Akismet, um Spam zu reduzieren. Erfahre, wie deine Kommentardaten verarbeitet werden..