Abilitare Hotpatch per i server abilitati per Azure Arc

Important

Hotpatch abilitato per Azure Arc per Windows Server 2025 è ora disponibile per una tariffa di sottoscrizione mensile. Per altre informazioni sui prezzi, vedi Stanco di tutti i riavvii? Prova hotpatching per Windows Server.

Hotpatch consente di aggiornare l'installazione di Windows Server senza richiedere agli utenti di riavviare dopo l'installazione. Questa funzionalità riduce al minimo il tempo di inattività dedicato agli aggiornamenti e mantiene gli utenti che eseguono i carichi di lavoro senza interruzioni. Per altre informazioni sul funzionamento di Hotpatch, vedere Hotpatch per Windows Server.

Windows Server 2025 offre la possibilità di abilitare Hotpatch per i server abilitati per Azure Arc. Per usare Hotpatch nei server abilitati per Azure Arc, è necessario distribuire l'agente Connected Machine e abilitare Hotpatch di Windows Server. Questo articolo descrive come abilitare Hotpatch.

Prerequisites

Prima di abilitare Hotpatch nei server abilitati per Arc per Windows Server 2025, è necessario soddisfare i requisiti seguenti.

• Un server deve eseguire Windows Server 2025 (build 26100.1742 o versione successiva). Le versioni di anteprima o Windows Server Insiders builds non sono supportate perché gli hotpatches non vengono creati per i sistemi operativi non definitivi.

• Il computer deve eseguire una delle seguenti edizioni di Windows Server.

  • Windows Server 2025 Standard
  • Windows Server 2025 Datacenter
  • Windows Server 2025 Datacenter: Azure Edition. Questa edizione non deve essere abilitata per Azure Arc, Hotpatch è già abilitato per impostazione predefinita. I prerequisiti tecnici rimanenti sono ancora applicabili.

• Sono supportate sia le opzioni di installazione Server con Esperienza desktop, che le opzioni di installazione Server Core.

• La macchina virtuale o fisica in cui si intende abilitare Hotpatch deve soddisfare i requisiti per di sicurezza basata su virtualizzazione (VBS), nota anche come modalità di sicurezza virtuale (VSM). Come minimo, il computer deve usare l'interfaccia UEFI (Unified Extensible Firmware Interface) con l'avvio protetto abilitato. Pertanto, per una macchina virtuale (VM) in Hyper-V, deve essere una macchina virtuale di seconda generazione .

• Una sottoscrizione di Azure. Se non se ne ha già uno, creare un account gratuito prima di iniziare.

• Il server e l'infrastruttura devono soddisfare i prerequisiti dell'agente connected machine per abilitare Azure Arc in un server.

• Il computer deve essere connesso ad Azure Arc (abilitato per Arc). Per ulteriori informazioni sull'integrazione del computer con Azure Arc, vedere opzioni di distribuzione dell'agente di Azure Connected Machine.

Controllare e abilitare la modalità protetta virtuale, se necessario

Quando si abilitare Hotpatch usando il portale di Azure, verifica se modalità di sicurezza virtuale (VSM) è in esecuzione nel computer. Se VSM non è in esecuzione, l'abilitazione del hotpatch ha esito negativo e sarà necessario abilitare VSM.

In alternativa, è possibile controllare manualmente lo stato di VSM prima di abilitare Hotpatch. VSM potrebbe essere già abilitato se in precedenza hai configurato altre funzionalità che, come Hotpatch, dipendono da VSM. Esempi comuni di tali funzionalità includono Credential Guard o protezione basata su virtualizzazione dell'integrità del codice, nota anche come integrità del codice protetto da Hypervisor( HVCI).

Tip

È possibile usare Criteri di gruppo o un altro strumento di gestione centralizzato per abilitare una o più delle funzionalità seguenti.

• Credential Guard
• account computer protetti di Credential Guard
• Protezione basata sulla virtualizzazione dell'integrità del codice
• l'avvio protetto di System Guard e la protezione SMM
• Protezione dello stack in modalità kernel applicata dall'hardware
• server con sicurezza avanzata

La configurazione di una di queste funzionalità abilita anche VSM.

Per verificare che VSM sia configurato ed eseguito, selezionare il metodo preferito ed esaminare l'output.

PowerShell

Get-CimInstance -Namespace 'root/Microsoft/Windows/DeviceGuard' -ClassName 'win32_deviceGuard' | Select-Object -ExpandProperty 'VirtualizationBasedSecurityStatus'

Prompt dei comandi

for /f "tokens=2 delims==" %a in ('wmic.exe /namespace:\\root\Microsoft\Windows\DeviceGuard path win32_deviceGuard GET VirtualizationBasedSecurityStatus /value ^| find "="') do @echo %a

Se l'output del comando è 2, VSM è configurato ed eseguito. In questo caso, passare direttamente a Abilita Hotpatch in Windows Server 2025.

Se l'output non è 2, è necessario abilitare VSM.

Per abilitare VSM, espandere questa sezione.

Abilitare VSM usando uno dei comandi seguenti.

PowerShell

New-ItemProperty -Path 'HKLM:\System\CurrentControlSet\Control\DeviceGuard' -Name 'EnableVirtualizationBasedSecurity' -PropertyType 'Dword' -Value 1 -Force

Prompt dei comandi

reg.exe add "HKLM\System\CurrentControlSet\Control\DeviceGuard" /v "EnableVirtualizationBasedSecurity" /t REG_DWORD /d 1 /f

Tip

Dopo aver abilitato VSM, è necessario riavviare il server.

Dopo il riavvio, eseguire di nuovo uno dei comandi seguenti per verificare che l'output sia ora 2 per assicurarsi che VSM sia in esecuzione.

PowerShell

Get-CimInstance -Namespace 'root/Microsoft/Windows/DeviceGuard' -ClassName 'win32_deviceGuard' | Select-Object -ExpandProperty 'VirtualizationBasedSecurityStatus'

Prompt dei comandi

for /f "tokens=2 delims==" %a in ('wmic.exe /namespace:\\root\Microsoft\Windows\DeviceGuard path win32_deviceGuard GET VirtualizationBasedSecurityStatus /value ^| find "="') do @echo %a

Se l'output non è ancora 2, VSM sulla tua macchina necessita delle operazioni di risoluzione dei problemi. Il motivo più probabile è che i requisiti hardware di fisici o virtuali non siano soddisfatti. Fare riferimento alla documentazione del fornitore della piattaforma hardware o di virtualizzazione. Ecco la documentazione di VMware vSphere, Attivare la sicurezza basata sulla virtualizzazione in una macchina virtuale esistente.

Dopo aver abilitato VSM e aver verificato che sia in esecuzione, passare alla sezione successiva.

Abilitare Hotpatch in Windows Server 2025

1. Connettere la macchina ad Azure Arc, se non era stata abilitata ad Arc in precedenza.

2. Dopo aver connesso il computer ad Azure Arc, accedere al portale di Azure Arc e passare a Azure Arc → Machines.

3. Seleziona il nome del tuo computer.

4. Selezionare Hotpatch e quindi Conferma.

5. Attendere circa 10 minuti per l'applicazione delle modifiche. Se l'aggiornamento rimane bloccato sullo stato In sospeso, passare a risolvere i problemi dell'agente di Azure Arc.

Uso di Hotpatch in Windows Server 2025

Ogni volta che un hotpatch è disponibile da Windows Update, si dovrebbe ricevere un prompt per installarlo. Poiché questi aggiornamenti non vengono rilasciati ogni mese, potrebbe essere necessario attendere la pubblicazione del successivo hotpatch.

Facoltativamente, è possibile automatizzare l'installazione dei hotpatch usando strumenti di gestione degli aggiornamenti, ad esempio Azure Update Manager (AUM).

Problemi noti

Più aggiornamenti rilasciati nell'ottobre 2025

Nell'ottobre 2025 Microsoft ha rilasciato diversi aggiornamenti offerti ad alcuni clienti di Windows Server. Se si è registrati in hotpatch o si prevede di eseguire la registrazione e si prevede di installare gli aggiornamenti hotpatch nel mese di novembre e dicembre 2025, assicurarsi che i computer Windows Server siano in esecuzione esattamente su uno dei livelli di aggiornamento seguenti.

• 14 ottobre 2025 - KB5066835 (Build del sistema operativo 26100.6899)
• 24 ottobre 2025 - KB5070893 (Build del sistema operativo 26100.6905) Aggiornamento della sicurezza per Windows Server Update Services

Se si dispone di uno degli altri aggiornamenti di ottobre installati, questo comporterà aggiornamenti regolari non appartenenti a hotpatch fino e incluso il prossimo mese di riferimento attualmente pianificato per gennaio 2026. Questi aggiornamenti richiedono un riavvio ogni mese. In particolare, l'aggiornamento seguente, se installato, rende il computer incompatibile con i prossimi hotfix: 23 ottobre 2025 - KB5070881 (Build del sistema operativo 26100.6905) Fuori banda, e così come qualsiasi altro aggiornamento non esplicitamente elencato in questa sezione.

Problema di licenza delle funzionalità negli aggiornamenti di ottobre 2025

È stato identificato un problema con gli aggiornamenti della sicurezza di ottobre 2025 per Windows Server 2025. Questo potrebbe influire su clienti che eseguono l'aggiornamento del 14 ottobre 2025 - KB5066835 (Build del sistema operativo 26100.6899) o versione successiva. A causa di questo problema, è possibile osservare il comportamento imprevisto seguente.

• L'abilitazione del hotpatching di Windows Server tramite Azure Arc nei nuovi computer potrebbe non riuscire o non completare come previsto. L'abilitazione delle funzionalità rimane invece nello stato "In corso" fino a quando il problema non viene risolto.
• Nei computer abilitati in precedenza per il hotpatching di Windows Server, la licenza di funzionalità potrebbe scadere e ciò impedirà l'installazione del successivo hotpatch. L'aggiornamento successivo causerà invece un riavvio se non viene eseguita alcuna azione.

Il hotpatching in Windows Server 2025 Datacenter: Azure Edition non è influenzato da questo problema.

Per risolvere questo problema, è consigliabile eseguire una serie di passaggi manuali. Se non si applica una delle soluzioni alternative, gli aggiornamenti regolari senza hotpatch verranno distribuiti regolarmente fino al prossimo mese di riferimento, attualmente previsto per gennaio 2026. Questi aggiornamenti richiedono un riavvio ogni mese.

Esistono due modi per applicare la soluzione alternativa manuale nei computer interessati. Ognuna delle opzioni disponibili offre una soluzione completa. È necessario applicare la soluzione alternativa in ognuno dei computer interessati prima che venga offerto l'aggiornamento successivo, previsto nella prossima data di "patch martedì" del 11 novembre 2025. L'applicazione della soluzione alternativa richiede un riavvio, quindi pianificare di conseguenza.

Dopo aver applicato una delle soluzioni alternative, gli aggiornamenti hotpatch rilasciati a novembre e dicembre 2025 verranno installati senza richiedere un riavvio.

Opzione 1: Usare Criteri di gruppo o locali per abilitare la correzione

1. Scaricare e installare il pacchetto Windows 11 24H2, Windows 11 25H2 e Windows Server 2025 KB5062660 251028_18301 Feature Preview . In questo modo viene installato il modello di Criteri locali o di gruppo (ADMX file) per questa correzione specifica.

2. Selezionare Start, digitare gpedit, quindi selezionare Modifica criteri di gruppo. Passare a Configurazione computer\Modelli amministrativi\KB5062660 251028_18301 Feature Preview\Windows 11, versione 24H2, 25H2\KB5062660 251028_18301 Feature Preview.

   Per altre informazioni sulla distribuzione e la configurazione di questi criteri di gruppo speciali, vedere Usare Criteri di gruppo per abilitare un aggiornamento disabilitato per impostazione predefinita.

3. Nel riquadro della finestra a destra aprire KB5062660 251028_18301 Feature Preview, selezionare Abilitato, quindi selezionare OK.

4. Riavviare il computer interessato.

5. Eseguire il comando seguente per rimuovere la voce DeviceLicensingServiceCommandMutex dal Registro di sistema. Se questa voce non è presente nel dispositivo interessato, la rimozione viene ignorata.

   try {
   Remove-ItemProperty -Path 'HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Subscriptions' -Name 'DeviceLicensingServiceCommandMutex' -ErrorAction Stop
   } catch {
   Write-Host "DeviceLicensingServiceCommandMutex entry not present, skipping removal."
   }
   

   In alternativa, usare lo strumento di modifica del Registro di sistema preferito o la soluzione di automazione per eliminare lo stesso valore. Non eliminare l'intera chiave del Registro di sistema.

Opzione 2: Usare uno script per abilitare la correzione

Aprire una finestra di PowerShell con privilegi elevati in ognuno dei computer interessati ed eseguire i comandi seguenti. L'ultimo comando richiede di riavviare il dispositivo. La mitigazione non viene completata fino al riavvio del computer ed è consigliabile riavviare immediatamente dopo l'esecuzione dello script.

Stop-Service -Name 'HIMDS'
New-Item -Path 'HKLM:\SYSTEM\CurrentControlSet\Policies\Microsoft\FeatureManagement\Overrides' -Force
New-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Policies\Microsoft\FeatureManagement\Overrides' -PropertyType 'dword' -Name '4264695439' -Value 1 -Force
try {
  Remove-ItemProperty -Path 'HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Subscriptions' -Name 'DeviceLicensingServiceCommandMutex' -ErrorAction Stop
} catch {
  Write-Host "DeviceLicensingServiceCommandMutex entry not present, skipping removal."
}
Restart-Computer -Confirm

Passaggi successivi

Ora che Hotpatch è abilitato, ecco alcuni articoli che potrebbero essere utili per l'aggiornamento del computer.

• Hotpatch per Windows Server
• Applicare patch a un'installazione dei componenti di base del server
• Applicazione automatica di patch guest alle macchine virtuali
• Gestione aggiornamenti di Azure