Windows Server 2025 ohne Reboot patchen? Na klar, mit Hotpatch – dank Azure Arc! Hier ein kleines, flottes How-To, um idealerweise mit vier Reboots im Jahr für Windows Updates über die Runden zu kommen.
Welche Voraussetzungen gibt es für Hotpatch?
- Windows Server 2025 Standard oder Datacenter
- Windows Server in der Azure Edition unterstützen Hotpatch von Haus aus
- Windows Server Insider Builds bekommen keine Hotpatches
- Der Virtual Secure Mode sollte aktiv sein (bzw. Virtual Based Security)
- Eine Hyper-V VM muss Generation 2 sein (Generation 2 Virtual Machine Overview | Microsoft Learn)
Mit diesem PowerShell Einzeiler wird geprüft, ob der Virtual Secure Mode aktiv ist. Das Ergebnis muss „2“ sein:
Get-CimInstance -Namespace "root/Microsoft/Windows/DeviceGuard" `
-ClassName "Win32_DeviceGuard" |
Select-Object -ExpandProperty "VirtualizationBasedSecurityStatus"
# Output:
2
Ist der Wert nicht 2, wäre der sinnvollste Weg wohl die Implementierung der Microsoft Security Baseline. Das ist beispielsweise per Gruppenrichtlinien aus dem Security Compliance Toolkit möglich oder auch per OSConfig. Plan B für einen ersten Test von Hotpatch:
New-ItemProperty -Path "HKLM:\System\CurrentControlSet\Control\DeviceGuard" `
-Name "EnableVirtualizationBasedSecurity" `
-PropertyType "Dword" `
-Value 1 `
-Force
# Ein Reboot wird benötigt
Restart-Computer
Onboarding Azure Arc per Connected Machine Agent:
Sobald die Vorbereitungen erledigt sind, schauen wir im Azure Portal vorbei und wechseln in „Azure Arc“ -> „Machines“ bzw. nutzen diesen Link: Azure Arc – Microsoft Azure
- Über den Button „+ Add/Create“ -> „Add machine“ erstellen wir das Script zum Onboarding
- Im nächsten Schritt erstellen wir das Script, um einen einzelnen Server hinzuzufügen
- Die geforderten Informationen werden entsprechend eingegeben
- Die Hinweise zur Location sind Kür. Können aber im größren Stil sicherlich hilfreich sein. Daher pflegen!
- Jetzt nur noch das Script runterladen oder auf den Server kopieren
- Script in einer administrativen PowerShell ausführen und kurz warten
Der letzte Akt – Akitivierung Hotpatch
Jetzt wechseln wir zurück in die Azure Arc Verwaltung und wählen erneut „Machines“ aus und sollten dort die soeben hinzugefügte Windows Server 2025 VM sehen. Um Hotpatch jetzt zu aktivieren, klicken wir die Maschine an und wählen die „Capability“ Hotpatch (Preview) im derzeitigen Status „Not enrolled“ . An dieser Stelle findet dann übrigens eine Prüfung statt, ob Virtual Based Security (VBS) aktiv ist. Nicken wir jetzt noch „I want to license this Windows Server to receive monthly hotpatches“ ab, steht dem Vergnügen (nach ca. 10 Minuten Wartezeit) nichts mehr im Weg – Yay!
Schreibe einen Kommentar