Compartilhar via


Patch para Windows Server

O patch dinâmico é uma maneira de instalar atualizações de segurança do sistema operacional no Windows Server sem precisar reiniciar o computador. O hotpatching corrige o código na memória dos processos em execução sem a necessidade de reiniciar o processo. O hotpatching também oferece os seguintes benefícios:

  • Menos binários significam que as atualizações são instaladas mais rapidamente e consomem menos recursos de disco e CPU.

  • Menor impacto na carga de trabalho com menos necessidade de reiniciar sua máquina.

  • Melhor proteção, pois os pacotes de atualização do Hotpatch têm como escopo as atualizações de segurança do Windows que são instaladas mais rapidamente sem exigir que você reinicie o computador.

  • Reduz o tempo exposto a riscos de segurança e janelas de alteração, além de facilitar a orquestração de patches com o Gerenciador de Atualizações do Azure.

Plataformas suportadas

Máquinas virtuais do Azure e Azure Local

A tabela a seguir lista as combinações exatas de editor, oferta do sistema operacional e SKU que dão suporte à aplicação de patch para Windows Server 2022 e Windows Server 2025 no Azure. Máquinas virtuais (VMs) criadas no Azure Local usando essas combinações também dão suporte ao Hotpatching.

Observação

Não há suporte para imagens base de contêiner do Windows Server, imagens personalizadas ou qualquer outra combinação de editor, oferta e SKU.

Atualmente, nem todas as regiões dão suporte a imagens do Windows Server 2025: Azure Edition. Se você tentar usar esse recurso em uma região que atualmente não dá suporte ao Windows Server 2025: Azure Edition, poderá ver um erro de cliente HTTP 400. Para contornar esse problema, use uma região diferente que atualmente ofereça suporte a esse recurso, como Sul do Reino Unido, Leste da Ásia ou Centro-Oeste dos EUA.

Publisher Oferta de sistema operacional SKU
MicrosoftWindowsServer WindowsServer 2022-Datacenter-Azure-Edition-Core
MicrosoftWindowsServer WindowsServer 2022-Datacenter-Azure-Edition-Core-smalldisk
MicrosoftWindowsServer WindowsServer 2022-Datacenter-Azure-Edition-Hotpatch
MicrosoftWindowsServer WindowsServer 2022-Datacenter-Azure-Edition-Hotpatch-smalldisk
MicrosoftWindowsServer WindowsServer 2025-Datacenter-Azure-Edition
MicrosoftWindowsServer WindowsServer 2025-Datacenter-Azure-Edition-smalldisk
MicrosoftWindowsServer WindowsServer 2025-Datacenter-Azure-Edition-Core
MicrosoftWindowsServer WindowsServer 2025-Datacenter-Azure-Edition-Core-smalldisk

Para obter mais informações sobre as imagens disponíveis, consulte Windows Server no Azure Marketplace.

Computadores conectados ao Azure Arc (versão prévia)

Importante

O Hotpatch habilitado para Azure Arc está atualmente em versão prévia. Veja os Termos de Uso Complementares para Versões Prévias do Microsoft Azure para obter termos legais que se aplicam aos recursos do Azure que estão em versão beta, versão prévia ou que, de outra forma, ainda não foram lançados em disponibilidade geral.

Os computadores Windows Server 2025 conectados ao Azure Arc poderão receber Hotpatches se você habilitar o recurso no Portal do Azure Arc. Para começar a usar o Hotpatch habilitado para Azure Arc, conecte o Azure Arc a computadores usando uma das seguintes edições:

  • Edição Datacenter do Windows Server 2025

  • Windows Server 2025 Edição Standard

Como o Hotpatch funciona

O Patch Dinâmico primeiro estabelece uma linha de base com a Atualização Cumulativa atual para Windows Server. A cada três meses, a linha de base é atualizada periodicamente com a atualização cumulativa mais recente. Em seguida, você receberá versões de patch dinâmico pelos próximos dois meses após a atualização cumulativa. Por exemplo, se janeiro for uma atualização cumulativa, fevereiro e março terão lançamentos de patch rápido. Para obter mais informações sobre o agendamento de lançamento do Hotpatch, consulte Notas de versão do Hotpatch no Gerenciamento Automatizado do Azure para Windows Server 2022.

Existem dois tipos de linhas de base: Linhas de base planejadas e Linhas de base não planejadas.

  • As linhas de base planejadas são lançadas em uma cadência regular, com lançamentos de Patch Rápido entre elas. As linhas de base planejadas incluem todas as atualizações em uma Atualização Cumulativa Mais Recente comparável para esse mês e exigem que você reinicie o computador.

    • Por exemplo, um período de lançamento planejado de um ano pode incluir quatro lançamentos de linha de base planejados em um ano civil e oito lançamentos de Patch Dinâmico.
  • As linhas de base não planejadas são lançadas durante uma atualização importante não planejada, como uma correção de dia zero, quando essa atualização específica não pode ser lançada como um patch rápido. Quando as linhas de base não planejadas são lançadas, uma versão do Patch Dinâmico é substituída por uma linha de base não planejada para esse mês. As linhas de base não planejadas também incluem todas as atualizações em uma atualização cumulativa mais recente comparável para esse mês e, portanto, exigem que você reinicie o computador.

    • Como esses eventos não são planejados, os desenvolvedores não podem prever linhas de base não planejadas com antecedência.

As atualizações de patch dinâmico não exigem que você reinicie o computador. Como os Hotpatches corrigem o código na memória dos processos em execução sem a necessidade de reiniciá-los, seus aplicativos não são afetados. Essa falta de reinicialização não afeta as implicações de desempenho ou funcionalidade do patch em si.

Atualizações suportadas

O Hotpatch abrange as atualizações de Segurança do Windows e mantém a paridade com o conteúdo das atualizações de segurança emitidas no canal de atualização regular do Windows que não é do Hotpatch.

Há algumas coisas importantes que você precisa considerar ao habilitar o Hotpatch em uma versão com suporte do Windows Server. Você ainda precisa reiniciar o computador para instalar atualizações que não estão incluídas no programa Hotpatch. Você também precisa reiniciar periodicamente após a instalação de uma nova linha de base. A reinicialização mantém sua VM sincronizada com patches não relacionados à segurança incluídos nas atualizações cumulativas mais recentes.

Os seguintes patches atualmente não estão incluídos no programa Hotpatch e exigem que você atualize sua máquina durante os meses de lançamento do Hotpatch:

  • Atualizações não relacionadas à segurança para Windows

  • Atualizações do .NET

  • Atualizações que não sejam do Windows, como drivers, atualizações de firmware e assim por diante.

O processo de orquestração de patches

O Hotpatch é uma extensão do Windows Update e processos de gerenciamento típicos. No entanto, os tipos de ferramentas que o Hotpatch usa para gerenciamento de patches variam dependendo da plataforma que você está usando.

Azure

  • As VMs que você cria no Azure usando uma imagem do Windows Server com suporte têm a Aplicação Automática de Patch de Convidado de VM habilitada por padrão.

  • O Hotpatch baixa e aplica automaticamente patches classificados como Críticos ou de Segurança à sua VM.

  • O patch dinâmico aplica patches fora do horário de pico no fuso horário da VM.

  • O Azure gerencia patches para você, aplicando patches de acordo com os princípios de disponibilidade em primeiro lugar.

  • O Azure monitora a integridade da VM por meio de sinais de integridade da plataforma para detectar falhas de aplicação de patch.

Observação

Não é possível criar VMSS (conjuntos de dimensionamento de VM) com orquestração uniforme em imagens do Azure Edition com Hotpatch. Para saber mais sobre quais recursos são compatíveis com a orquestração uniforme para conjuntos de dimensionamento, confira Uma comparação de conjuntos flexíveis, uniformes e de disponibilidade.

Azure Local

O Azure Local pode orquestrar atualizações do Hotpatch para VMs usando as seguintes ferramentas:

  • A Política de Grupo define as configurações do cliente do Windows Update.

  • O SCONFIG define as configurações do cliente Windows Update para o Server Core.

  • Soluções de gerenciamento de patches de terceiros.

Computadores conectados ao Azure Arc

Os computadores conectados ao Azure Arc podem instalar e gerenciar atualizações do Hotpatch usando as seguintes ferramentas:

  • Gerenciador de Atualizações do Azure

  • A Política de Grupo define as configurações do cliente do Windows Update.

  • O SCONFIG define as configurações do cliente Windows Update para o Server Core.

  • Soluções de gerenciamento de patches de terceiros.

Para obter mais informações sobre quais ferramentas o Hotpatch usa, confira nossa documentação do Azure Update Manager .

Compreenda o status do patch da sua VM no Azure

Para exibir o status do patch da VM, abra a página Visão geral da VM no portal do Azure. A partir daí, em Operações, selecione Atualizações. Você deve ver o status do patch e os patches instalados mais recentemente em Atualizações recomendadas.

Na página Atualizações recomendadas, você pode ver o status do Hotpatch da VM e se há patches disponíveis para a VM. Como dissemos em Como funciona o Hotpatch, a Aplicação Automática de Patches de Convidado de VM instala automaticamente todos os patches críticos e de segurança em sua VM.

Os patches fora dessas duas categorias não são instalados automaticamente e, em vez disso, são exibidos na guia Conformidade com a atualização como uma lista de patches disponíveis. Você também pode verificar a guia Histórico de atualizações para exibir detalhes de instalação de patches para implantações de atualizações em sua VM dos últimos 30 dias.

A aplicação automática de patches de convidado de VM executa regularmente avaliações de patches disponíveis, que você pode exibir na guia Atualizações . Você pode iniciar manualmente uma avaliação selecionando o botão Avaliar agora . Você também pode instalar patches sob demanda selecionando o botão Instalar atualizações agora . Essa opção permite que você escolha se deseja instalar todas as atualizações em classificações de patch específicas ou selecionar atualizações individuais para incluir ou excluir, fornecendo uma lista de artigos da base de conhecimento. No entanto, lembre-se de que os patches instalados manualmente não seguem os princípios de disponibilidade em primeiro lugar e podem exigir que você reinicie a VM.

Você também pode exibir os patches instalados executando o cmdlet Get-HotFix no PowerShell ou exibindo o menu Configurações na Experiência Desktop.

Suporte de reversão para Hotpatching

As atualizações de patch dinâmico não dão suporte à reversão automática. Se você tiver um problema durante ou após uma atualização, deverá desinstalar a atualização mais recente e instalar a última atualização de linha de base funcional. Esse processo requer que você reinicie a VM.

Próximas etapas