Habilitar o Patch Dinâmico para máquinas virtuais do Azure Edition no Azure Stack HCI

• Aplica-se a:

  ✅ Windows Server 2022 Datacenter: Azure Edition hosted on Azure Stack HCI

Hotpatch para Windows Server 2022 Datacenter: as VMs (máquinas virtuais) do Azure Edition hospedadas no Azure Stack HCI permitem que você instale atualizações de segurança em um computador implantado por ISO no Azure Stack HCI sem exigir uma reinicialização após a instalação. Você pode usar o patch dinâmico com a Experiência Desktop e o Server Core. Este artigo mostra como configurar o patch dinâmico após a instalação ou a atualização do sistema operacional usando uma ISO.

Observação

Se você estiver usando o mercado do Azure, não siga as etapas neste artigo. Em vez disso, use as seguintes imagens do Azure Marketplace que estão prontas para Hotpatching:

• Windows Server 2022 Datacenter: Hotpatch do Azure Edition – Gen2
• Windows Server 2022 Datacenter: Azure Edition Core – Gen2

Há algumas diferenças importantes entre a experiência de patch dinâmico no computador implantado por ISO no Azure Stack HCI e o uso do patch dinâmico no Gerenciamento Automatizado do Azure para VMs do Azure.

As diferenças incluem:

• A configuração de patch dinâmico não está disponível por meio do Gerenciador de Atualização do Azure.
• O patch dinâmico não pode ser desabilitado.
• A orquestração de aplicação de patch automática não está disponível.
• A orquestração precisa ser executada manualmente (por exemplo, usando o Windows Update por SConfig).

Pré-requisitos

Para habilitar o patch dinâmico, você precisa preparar os seguintes pré-requisitos antes de começar:

• Windows Server 2022 Datacenter: Azure Edition hospedado em uma plataforma com suporte, como o Azure ou o Azure Stack HCI com os benefícios do Azure habilitados.
  • O Azure Stack HCI precisa estar na versão 21H2 ou posterior.
• Examine a seção Como funciona o patch dinâmico do artigo Patch dinâmico para novas máquinas virtuais.
• Acesso de rede de saída ou uma regra de porta de saída que permita o tráfego HTTPS (TCP/443) para os seguintes pontos de extremidade:
  • go.microsoft.com
  • software-static.download.prss.microsoft.com

Preparar o computador

Para habilitar o patch dinâmico na VM, você precisa preparar o computador seguindo estas etapas:

1. Entre no computador. Se você estiver no Server Core, no menu SConfig, insira a opção 15 e pressione Enter para abrir uma sessão do PowerShell. Se você estiver na experiência da área de trabalho, a área de trabalho remota entrará em sua VM e iniciará o PowerShell.

2. Habilite a segurança baseada em virtualização executando o seguinte comando do PowerShell para definir as configurações corretas do Registro:

   $registryPath = "HKLM:\SYSTEM\CurrentControlSet\Control\DeviceGuard"
   $parameters = $parameters = @{
       Path = $registryPath
       Name = "EnableVirtualizationBasedSecurity"
       Value = "0x1"
       Force = $True
       PropertyType = "DWORD" 
   }
   New-ItemProperty @parameters
   

3. Reinicie seu computador.

4. Configure o tamanho da tabela do patch dinâmico no Registro executando o seguinte comando do PowerShell:

   $registryPath = "HKLM:\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management"
   $parameters = $parameters = @{
       Path = $registryPath
       Name = "HotPatchTableSize"
       Value = "0x1000"
       Force = $True
       PropertyType = "DWORD"
   }
   New-ItemProperty @parameters
   

5. Configure o ponto de extremidade do Windows Update para patch dinâmico no Registro executando o seguinte comando do PowerShell:

   $registryPath = "HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Update\TargetingInfo\DynamicInstalled\Hotpatch.amd64"
   $nameParameters = $parameters = @{
       Path = $registryPath
       Name = "Name"
       Value = "Hotpatch Enrollment Package"
       Force = $True
   }
   $versionParameters = $parameters = @{
       Path = $registryPath
       Name = "Version"
       Value = "10.0.20348.1129"
       Force = $True
   }
   New-Item $registryPath -Force
   New-ItemProperty @nameParameters
   New-ItemProperty @versionParameters
   

Agora que você preparou o computador, instale o pacote de manutenção de patch dinâmico.

Instalar o pacote de manutenção de patch dinâmico

Observação

A base de dados de pré-requisito do patch dinâmico não está publicada no catálogo do Microsoft Update no momento.

Para receber atualizações do patch dinâmico, você precisará baixar e instalar o pacote de manutenção de patch dinâmico. Na sessão do PowerShell, conclua as seguintes etapas:

1. Baixe o pacote autônomo (KB5003508) do Microsoft Update do catálogo do Microsoft Update e copie-o no computador usando o seguinte comando do PowerShell:

   $parameters = @{
        Source = "https://go.microsoft.com/fwlink/?linkid=2211714"
        Destination = ".\KB5003508.msu"
   }
   Start-BitsTransfer @parameters
   

2. Para instalar o pacote autônomo, execute o seguinte comando:

   wusa.exe .\KB5003508.msu
   

3. Siga os prompts. Após a conclusão, selecione Concluir.

4. Para verificar a instalação, execute o seguinte comando:

   Get-HotFix | Where-Object {$_.HotFixID -eq "KB5003508"}
   

Observação

Ao usar o Server Core, as atualizações são definidas para serem instaladas manualmente por padrão. Você pode alterar essa configuração usando o utilitário SConfig.

Próximas etapas

Agora que você configurou o computador para patch dinâmico, veja alguns artigos que podem ajudar a atualizar o computador:

• Aplicar patch a uma instalação do Server Core.
• Saiba mais sobre o WSUS (Windows Server Update Services).