Hotpatch para Windows Server
Hotpatching é uma maneira de instalar atualizações de segurança do sistema operacional no Windows Server sem ter que reiniciar sua máquina. Hotpatching corrige o código na memória de processos em execução sem a necessidade de reiniciar o processo. Hotpatching também oferece os seguintes benefícios:
Menos binários significam que as atualizações são instaladas mais rapidamente e consomem menos recursos de disco e CPU.
Menor impacto na carga de trabalho com menos necessidade de reiniciar a máquina.
Melhor proteção, pois os pacotes de atualização do Hotpatch têm como escopo as atualizações de segurança do Windows que são instaladas mais rapidamente sem exigir que você reinicie a máquina.
Reduz o tempo exposto a riscos de segurança e janelas de alteração e facilita a orquestração de patches com o Azure Update Manager.
Plataformas suportadas
Máquinas virtuais do Azure e do Azure Local
A tabela a seguir lista as combinações exatas de editor, oferta de sistema operacional e SKU que oferecem suporte a Hotpatching para Windows Server 2022 e Windows Server 2025 no Azure. As máquinas virtuais (VMs) que você cria no Azure Local usando essas combinações também oferecem suporte a Hotpatching.
Observação
Não há suporte para imagens base de contêiner do Windows Server, imagens personalizadas ou qualquer outra combinação de editor, oferta e SKU.
Atualmente, nem todas as regiões oferecem suporte a imagens do Windows Server 2025: Azure Edition. Se tentar utilizar esta funcionalidade numa região que atualmente não suporta o Windows Server 2025: Azure Edition, poderá ver um erro de cliente HTTP 400. Para contornar esse problema, use uma região diferente que atualmente oferece suporte a esse recurso, como o sul do Reino Unido, Leste Asiático ou Centro-Oeste dos EUA.
| Editora | Oferta de Sistema Operativo | SKU |
|---|---|---|
| MicrosoftWindowsServer | Windows Server | 2022-Datacenter-Azure-Edition-Core |
| MicrosoftWindowsServer | WindowsServer | 2022-Datacenter-Azure-Edition-Core-smalldisk |
| MicrosoftWindowsServer | Servidor Windows | 2022-Datacenter-Azure-Edition-Hotpatch |
| MicrosoftWindowsServer | WindowsServer | 2022-Datacenter-Azure-Edition-Hotpatch-smalldisk |
| MicrosoftWindowsServer | WindowsServer | 2025-Centro de Dados-Azure-Edition |
| MicrosoftWindowsServer | Windows Server | 2025-Datacenter-Azure-Edition-smalldisk |
| MicrosoftWindowsServer | WindowsServer | 2025-Datacenter-Azure-Edition-Core |
| MicrosoftWindowsServer | Windows Server | 2025-Datacenter-Azure-Edition-Core-smalldisk |
Para obter mais informações sobre as imagens disponíveis, consulte Windows Server no Azure Marketplace.
Máquinas conectadas ao Azure Arc (visualização)
Importante
O Azure Arc com Hotpatch ativado está atualmente em pré-visualização. Consulte os Termos de Utilização Suplementares para Pré-visualizações do Microsoft Azure para obter os termos legais que se aplicam às funcionalidades do Azure que estão em versão beta, pré-visualização ou ainda não disponibilizadas para disponibilidade geral.
As máquinas do Windows Server 2025 conectadas ao Azure Arc podem receber Hotpatches se você habilitar o recurso no Portal do Arco do Azure. Para começar a usar o Hotpatch com suporte do Azure Arc, conecte o Azure Arc a máquinas usando uma das seguintes edições:
Windows Server 2025 Datacenter Edition
Windows Server 2025 Standard Edition
Como funciona o Hotpatch
O Hotpatch primeiro estabelece uma linha de base com a Atualização Cumulativa atual para o Windows Server. A cada três meses, a linha de base é atualizada periodicamente com a Atualização Cumulativa mais recente. Em seguida, você recebe versões do Hotpatch para os próximos dois meses após a atualização cumulativa. Por exemplo, se janeiro for uma atualização cumulativa, fevereiro e março terão lançamentos do Hotpatch. Para obter mais informações sobre o cronograma de lançamento do Hotpatch, consulte Notas de versão do Hotpatch no Azure Automanage para Windows Server 2022.
Existem dois tipos de linhas de base: Linhas de base planeadas e Linhas de base não planeadas.
As linhas de base previstas são lançadas numa cadência regular, com lançamentos de Hotpatch entre as mesmas. As linhas de base planejadas incluem todas as atualizações em uma Atualização Cumulativa mais recente comparável para esse mês e exigem que você reinicie sua máquina.
- Por exemplo, um período de lançamento planejado de um ano pode incluir quatro versões de linha de base planejadas em um ano civil e oito versões do Hotpatch.
As linhas de base não planejadas são lançadas durante uma atualização importante não planejada, como uma correção de dia zero, quando essa atualização específica não pode ser lançada como um Hotpatch. Quando são lançadas linhas de base não planeadas, uma versão Hotpatch é substituída por uma linha de base não planeada para esse mês. As linhas de base não planejadas também incluem todas as atualizações em uma atualização cumulativa mais recente comparável para esse mês e, portanto, exigem que você reinicie a máquina.
- Como esses eventos não são planejados, os desenvolvedores não podem prever linhas de base não planejadas com antecedência.
As atualizações do Hotpatch não exigem que reinicie o computador. Como os Hotpatches corrigem o código na memória dos processos em execução sem a necessidade de reiniciá-los, seus aplicativos não são afetados. Essa falta de reinicialização não afeta o desempenho ou as implicações de funcionalidade do patch em si.
Atualizações suportadas
O Hotpatch abrange as atualizações de segurança do Windows e assegura a paridade com o conteúdo das atualizações de segurança disponibilizadas no canal regular de atualização do Windows que não utiliza o Hotpatch.
Há algumas coisas importantes que você precisa considerar ao habilitar o Hotpatch em uma versão suportada do Windows Server. Você ainda precisa reiniciar sua máquina para instalar atualizações que não estão incluídas no programa Hotpatch. Você também precisa reiniciar periodicamente após a instalação de uma nova linha de base. A reinicialização mantém sua VM sincronizada com patches não relacionados à segurança incluídos nas atualizações cumulativas mais recentes.
Os seguintes patches atualmente não estão incluídos no programa Hotpatch e exigem que você atualize sua máquina durante os meses de lançamento do Hotpatch:
Atualizações não relacionadas à segurança para Windows
Atualizações do .NET
Atualizações que não são do Windows, como drivers, atualizações de firmware e assim por diante.
Processo de orquestração de patches
Hotpatch é uma extensão do Windows Update e processos de gerenciamento típicos. No entanto, os tipos de ferramentas que o Hotpatch usa para o gerenciamento de patches variam dependendo da plataforma que você está usando.
Azure
As VMs que você cria no Azure usando uma imagem do Windows Server com suporte têm de Correção Automática de Convidado de VM habilitada por padrão.
O Hotpatch transfere e aplica automaticamente patches classificados como Críticos ou de Segurança à sua VM.
O Hotpatch aplica patches fora do horário de pico no fuso horário da VM.
O Azure gerencia patches para você, aplicando patches de acordo com princípios de disponibilidade em primeiro lugar.
O Azure monitora a integridade da VM por meio de sinais de integridade da plataforma para detetar falhas de aplicação de patches.
Observação
Não é possível criar conjuntos de escala de VM (VMSS) com orquestração uniforme em imagens do Azure Edition com Hotpatch. Para saber mais sobre quais recursos são suportados pela orquestração uniforme para conjuntos de escala, consulte Uma comparação de conjuntos flexíveis, uniformes e de disponibilidade.
Azure Local
O Azure Local pode orquestrar atualizações de Hotpatch para VMs usando as seguintes ferramentas:
A Política de Grupo define as configurações do cliente do Windows Update.
SCONFIG define as configurações do cliente Windows Update para Server Core.
Soluções de gerenciamento de patches de terceiros.
Máquinas conectadas ao Azure Arc
As máquinas conectadas ao Azure Arc podem instalar e gerenciar atualizações do Hotpatch usando as seguintes ferramentas:
Azure Update Manager
A Política de Grupo define as configurações do cliente do Windows Update.
SCONFIG define as configurações do cliente Windows Update para Server Core.
Soluções de gerenciamento de patches de terceiros.
Para obter mais informações sobre quais ferramentas o Hotpatch usa, consulte a nossa documentação do Azure Update Manager nos itens e.
Compreender o estado do patch para a sua VM no Azure
Para exibir o status do patch para sua VM, abra a página Visão geral da sua VM no portal do Azure. A partir daí, em Operations, selecione Atualizações. Deverá ver o estado das correções e as correções instaladas mais recentemente nas Atualizações Recomendadas.
Na página atualizações recomendadas, pode ver o estado do Hotpatch da sua VM e se há algum patch disponível para a sua VM. Como afirmamos em Como o Hotpatch funciona, Automatic VM Guest Patching instala automaticamente todos os patches críticos e de segurança em sua VM.
Os patches fora dessas duas categorias não são instalados automaticamente e, em vez disso, são exibidos na guia de conformidade da atualização como uma lista de patches disponíveis. Você também pode verificar a guia Histórico de atualizações para ver os detalhes da instalação dos patches para as implantações de atualização na sua máquina virtual nos últimos 30 dias.
O Patch Automático de Convidados da VM executa regularmente avaliações dos patches disponíveis, que pode visualizar na guia Atualizações. Pode iniciar manualmente uma avaliação selecionando o botão Avaliar Agora. Você também pode instalar patches sob demanda selecionando o botão Instalar atualizações agora. Essa opção permite que você escolha se deseja instalar todas as atualizações em classificações de patch específicas ou selecionar atualizações individuais para incluir ou excluir fornecendo uma lista de artigos da base de dados de conhecimento. No entanto, lembre-se de que os patches instalados manualmente não seguem os princípios de disponibilidade inicial e podem exigir que você reinicie a VM.
Você também pode exibir os patches instalados executando o cmdlet
Suporte de reversão para Hotpatching
As atualizações do Hotpatch não suportam reversão automática. Se você tiver um problema durante ou após uma atualização, desinstale a atualização mais recente e instale a última atualização de linha de base funcional. Esse processo requer que você reinicie a VM.