Administration Windows Server : comment utiliser le hotpatching ?

Quels sont les avantages du hotpatching pour Windows Server ?

Aussi séduisante que soit l’idée de réduire le nombre de redémarrages du serveur, il existe d’autres avantages potentiels. Microsoft a conçu sa fonction de hotpatching pour mettre à jour le code s’exécutant dans la mémoire du serveur, ce qui rend le processus de mise à jour moins gourmand en ressources de stockage et de calcul par rapport à la méthode normale de mise à jour de Windows.

Plus important encore, la planification de la gestion des correctifs devient moins problématique avec le hotpatching, car il n’est plus nécessaire de programmer les mises à jour en fonction du moment opportun pour arrêter une charge de travail Windows Server et redémarrer le serveur. L’autre avantage est l’application plus rapide des mises à jour de sécurité, ce qui réduit la durée d’exposition de vos serveurs aux vulnérabilités connues.

Comment fonctionne le hotpatching de Windows Server 2025 ?

Comme indiqué précédemment, le hotpatching consiste à mettre à jour le code exécuté dans la mémoire d’un serveur au lieu d’écrire le nouveau code sur le disque, puis de redémarrer le serveur pour amener ce code dans la mémoire. Malheureusement, cette méthode n’élimine pas la nécessité de redémarrer les serveurs après le processus de mise à jour. En revanche, elle réduit la fréquence des mises à jour nécessaires.

Microsoft base son processus de hotpatching sur une série de distributions de base, qui sont comme des mises à jour cumulatives. Lors de la configuration d’un serveur pour l’utilisation du hotpatching, Windows Update doit appliquer une image de référence. Après un redémarrage, les futures mises à jour du serveur peuvent être installées sous forme de correctifs jusqu’à ce que Microsoft publie la distribution de base suivante.

Microsoft prévoit de publier les images de référence tous les trois mois. Par exemple, si la société publie une nouvelle image de référence en juillet, l’image de référence de juillet inclura les mises à jour de ce mois. Les mises à jour d’août et de septembre seront ensuite publiées sous forme de correctifs. La prochaine version de l’image de référence et le prochain redémarrage nécessaire auront donc lieu en octobre. En d’autres termes, les serveurs ne devront être redémarrés qu’une fois tous les trois mois. Toutefois, certaines situations peuvent nécessiter un redémarrage du serveur entre les versions de base.

Microsoft a déclaré qu’il pouvait occasionnellement publier une version de base non planifiée entre les versions programmées, une mise à jour non liée à la sécurité ou un correctif de type « zero-day » nécessitant un redémarrage.

Microsoft prévient aussi que le hotpatching n’est pas disponible pour certaines mises à jour, telles que les mises à jour non sécurisées, les correctifs .NET et les correctifs de logiciels tiers. Ces mises à jour tierces peuvent inclure des révisions de micrologiciels ou des mises à niveau de pilotes.

La plupart des administrateurs utilisent Azure Arc à partir du portail Azure afin de voir et gérer le déploiement des correctifs pour leurs charges de travail Windows Server 2025. Microsoft propose plusieurs autres outils de gestion des correctifs pour gérer les hotpatches. L’une des méthodes consiste à scanner Windows Update, qui propose soit un hotpatch, soit la mise à jour de base, en fonction du cycle de publication. SConfig effectue la même tâche sur les charges de travail Server Core. Azure Update Manager est un autre outil disponible pour gérer ces mises à jour hotpatch.

Quelles sont les conditions requises pour le hotpatching de Windows Server 2025 ?

Le hotpatching n’est pas une nouveauté pour Microsoft. La société a commencé à proposer ce service pour les machines virtuelles Azure avec Windows Server 2022 : Azure Edition. Désormais, l’entreprise propose le hotpatching dans ses éditions Windows Server 2025 Standard et Datacenter via Azure Arc pour les serveurs physiques, les VM Hyper-V et VMware sur site, ainsi que les plateformes cloud tierces.

Les administrateurs qui souhaitent tester le service de hotpatch peuvent l’utiliser gratuitement jusqu’au 30 juin 2025. Après cette date, Microsoft fera passer le hotpatching de Windows Server 2025 à un service d’abonnement payant d’environ 1,50 € par cœur de CPU (physique ou virtuel) par mois.

Les conditions requises pour le hotpatching de Windows Server 2025 en dehors d’Azure sont les suivantes :

• Connexion à Azure Arc à l’aide de l’agent Connected Machine.
• Abonnement au service de hotpatching à partir du 1er juillet 2025.
• Interface micrologiciel extensible unifiée avec démarrage sécurisé activé.
• Sécurité basée sur la virtualisation (VBS) sur la VM ou le serveur physique.
• Les VM Hyper-V doivent être de génération 2.
• Abonnement Azure.

Étant donné que le processus de hotpatching modifie le code s’exécutant dans la mémoire du serveur, Microsoft utilise VBS pour se protéger contre les exploits et préserver la sécurité du noyau.

Activez VBS en exécutant cette commande et en redémarrant le serveur.

Reg add "HKLM\SYSTEM\ControlSet001\Control\DeviceGuard" /v "EnableVirtualizationBasedSecurity" /t REG_DWORD /d 1 /f

Une fois le serveur redémarré, vous pouvez utiliser l’outil MSINFO32 pour vérifier que VBS est activé.

Comment configurer le hotpatching pour Windows Server 2025 ?

Afin d’utiliser le hotpatching sur Windows Server 2025 Standard ou Datacenter ne fonctionnant pas sur Azure, vous devez configurer le serveur pour qu’il se connecte à Azure Arc. Pour ce faire, vous devez installer l’agent Azure Connected Machine sur votre serveur.

Pour relier votre machine à Azure Arc, connectez-vous au portail Azure, ouvrez Azure Arc et cliquez sur Ajouter des ressources. Lorsque vous y êtes invité, cliquez sur Add/Create (Ajouter/Créer), puis sur Add a Machine (Ajouter une machine). Choisissez ensuite l’option Ajouter un seul serveur ou Ajouter plusieurs serveurs. Vous pouvez ajouter le serveur à l’aide d’un script ou du programme d’installation Windows.

Après avoir installé l’agent Connected Machine, retournez sur le portail Azure et ouvrez le service Azure Arc. Cliquez sur l’onglet Azure Arc Resources, puis sur l’onglet Machines. Vous devriez voir votre serveur inscrit.

Cliquez sur le serveur, puis sur Hotpatch. Enfin, cochez la case Je veux accorder une licence à ce serveur Windows pour qu’il reçoive des correctifs mensuels, puis cliquez sur Confirmer.