Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Important
O Hotpatch habilitado com Azure Arc para Windows Server 2025 já está disponível mediante uma taxa de subscrição mensal. Para saber mais sobre preços, consulte Cansado de todas as reinicializações? Obtenha o hotpatching para o Windows Server.
O Hotpatch permite que você atualize a instalação do Windows Server sem exigir que os usuários reiniciem após a instalação. Esse recurso minimiza o tempo de inatividade gasto em atualizações e mantém os usuários executando suas cargas de trabalho ininterruptamente. Para obter mais informações sobre como o Hotpatch funciona, consulte Hotpatch para Windows Server.
O Windows Server 2025 apresenta a capacidade de habilitar o Hotpatch para servidores habilitados para Azure Arc. Para usar o Hotpatch em servidores habilitados para Azure Arc, tudo o que você precisa fazer é implantar o agente de Máquina Conectada e habilitar o Hotpatch do Windows Server. Este artigo descreve como ativar o Hotpatch.
Prerequisites
Antes de habilitar o Hotpatch em servidores habilitados para Arc para o Windows Server 2025, você precisa atender aos seguintes requisitos.
Um servidor deve estar executando o Windows Server 2025 (compilação 26100.1742 ou posterior). Não há suporte para versões de visualização ou compilações Windows Server Insiders porque os hotpatches não são criados para sistemas operacionais de pré-lançamento.
A máquina deve estar executando uma das seguintes edições do Windows Server.
- Windows Server 2025 Standard
- Centro de dados do Windows Server 2025
- Windows Server 2025 Datacenter: Azure Edition. Esta edição não precisa ser habilitada para o Azure Arc, o Hotpatch já está habilitado por padrão. Os restantes pré-requisitos técnicos continuam a aplicar-se.
As opções de instalação do Server com Experiência Desktop e do Server Core são suportadas.
A máquina física ou virtual onde pretende ativar o Hotpatch precisa satisfazer os requisitos para segurança baseada em virtualização (VBS), também conhecido como Modo Seguro Virtual (VSM). No mínimo, a máquina tem que usar a interface de firmware extensível unificada (UEFI) com a inicialização segura habilitada. Portanto, para uma máquina virtual (VM) no Hyper-V, ela precisa ser uma máquina virtual de Geração 2.
Uma assinatura do Azure. Se ainda não tiver uma, crie uma conta gratuita antes de começar.
Seu servidor e infraestrutura devem satisfazer os pré-requisitos do agente Connected Machine para habilitar o Azure Arc em um servidor.
A máquina deve estar conectada ao Azure Arc (compatível com Arc). Para saber mais sobre como integrar a sua máquina ao Azure Arc, consulte opções de implementação do agente do Azure Connected Machine.
Verifique e ative o Modo de Segurança Virtual, se necessário
Quando você habilitar o Hotpatch usando o portal do Azure, ele verifica se do Modo de Segurança Virtual (VSM) está em execução na máquina. Se o VSM não estiver em execução, a ativação do hotpatch falhará e você terá que habilitar o VSM.
Como alternativa, você pode verificar o status do VSM manualmente antes de ativar o Hotpatch. O VSM pode já estar habilitado se você configurou anteriormente outros recursos que (como o Hotpatch) dependem do VSM. Exemplos comuns de tais funcionalidades incluem Proteção de credenciais ou Proteção baseada em virtualização da integridade do código, também conhecida como Integridade de código protegida por hipervisor (HVCI).
Tip
Você pode usar a Diretiva de Grupo ou outra ferramenta de gerenciamento centralizado para habilitar um ou mais dos seguintes recursos.
- Guarda de credenciais
- contas de máquina protegidas pelo Credential Guard
- Proteção baseada em virtualização da integridade do código
- System Guard Secure Launch e proteção SMM
- Proteção de Pilha Imposta por Hardware no Modo Kernel
- Servidor Secured-core
A configuração de qualquer um desses recursos também habilita o VSM.
Para verificar se o VSM está configurado e em execução, selecione seu método preferido e examine a saída.
Get-CimInstance -Namespace 'root/Microsoft/Windows/DeviceGuard' -ClassName 'win32_deviceGuard' | Select-Object -ExpandProperty 'VirtualizationBasedSecurityStatus'
Se a saída do comando for 2, o VSM está configurado e em execução. Nesse caso, prossiga diretamente para Ativar Hotpatch no Windows Server 2025.
Se a saída não estiver 2, você precisará habilitar o VSM.
Para habilitar o VSM, expanda esta seção.
Habilite o VSM usando um dos seguintes comandos.
New-ItemProperty -Path 'HKLM:\System\CurrentControlSet\Control\DeviceGuard' -Name 'EnableVirtualizationBasedSecurity' -PropertyType 'Dword' -Value 1 -Force
Tip
Depois de habilitar o VSM, você precisa reiniciar o servidor.
Depois de reinicializar, execute um dos seguintes comandos novamente para verificar se a saída está 2 para certificar-se de que o VSM está em execução.
Get-CimInstance -Namespace 'root/Microsoft/Windows/DeviceGuard' -ClassName 'win32_deviceGuard' | Select-Object -ExpandProperty 'VirtualizationBasedSecurityStatus'
Se a saída ainda não estiver 2, o VSM na sua máquina precisará de resolução de problemas. A razão mais provável é que os requisitos de hardware físico ou virtual não são atendidos. Consulte a documentação do fornecedor do seu hardware ou plataforma de virtualização. Por exemplo, aqui está a documentação do VMware vSphere, Ativar a Segurança Baseada em Virtualização numa Máquina Virtual Existente.
Depois de habilitar o VSM com êxito e certificar-se de que ele está em execução, prossiga para a próxima seção.
Ativar Hotpatch no Windows Server 2025
Conecte a máquina ao Azure Arc, se ela não estiver habilitada para Arc anteriormente.
Depois de conectar a máquina ao Azure Arc, entre no portal do Azure Arc e vá para Azure Arc → Machines.
Selecione o nome da sua máquina.
Selecione Hotpatch e, em seguida, selecione Confirmar.
Aguarde cerca de 10 minutos para que as alterações se apliquem. Se a atualização ficar bloqueada no estado pendente, prossiga para resolver problemas do agente Azure Arc.
Usando o Hotpatch no Windows Server 2025
Sempre que um Hotpatch estiver disponível no Windows Update, você receberá uma solicitação para instalá-lo. Como essas atualizações não são lançadas todos os meses, talvez seja necessário esperar até que o próximo Hotpatch seja publicado.
Opcionalmente, você pode automatizar a instalação do hotpatch usando ferramentas de gerenciamento de atualizações, como o Azure Update Manager (AUM).
Problemas conhecidos
Várias atualizações lançadas em outubro de 2025
Em outubro de 2025, a Microsoft lançou várias atualizações que foram oferecidas a alguns clientes do Windows Server. Se você se inscreveu no hotpatch ou planeja se inscrever e planeja instalar atualizações de hotpatch em novembro e dezembro de 2025, verifique se suas máquinas Windows Server estão sendo executadas em exatamente um dos seguintes níveis de atualização.
- 14 de outubro de 2025 - KB5066835 (Compilação 26100.6899 do SO)
- 24 de outubro de 2025 - KB5070893 (Compilação 26100.6905 do SO) Atualização de segurança para o Windows Server Update Services
Se tiver uma das outras atualizações de outubro instaladas, isso resultará em atualizações regulares, não hotpatch, até e incluindo o próximo mês de referência, que está atualmente agendado para janeiro de 2026. Essas atualizações exigem uma reinicialização a cada mês. Em particular, a seguinte atualização, se instalada, torna a máquina incompatível com os próximos hotpatches: 23 de outubro de 2025 - KB5070881 (OS Build 26100.6905) Fora de banda, assim como qualquer outra atualização não listada explicitamente nesta seção.
Problema de licenciamento de funcionalidades nas atualizações de outubro de 2025
Foi identificado um problema com as atualizações de segurança de outubro de 2025 para o Windows Server 2025. Isso pode afetar os clientes que executam a atualização de 14 de outubro de 2025 - KB5066835 (Compilação 26100.6899 do SO) ou posterior. Devido a esse problema, o seguinte comportamento inesperado pode ser observado.
- A habilitação do hotpatching do Windows Server por meio do Azure Arc em novas máquinas pode falhar ou não ser concluída conforme o esperado. Em vez disso, a ativação do recurso permanece no estado "Em andamento" até que o problema seja resolvido.
- Em máquinas habilitadas anteriormente para o hotpatch do Windows Server, a licença do recurso pode expirar, e isso impedirá que o próximo Hotpatch seja instalado. Em vez disso, a próxima atualização causará uma reinicialização se nenhuma ação for tomada.
O Hotpatching no Windows Server 2025 Datacenter: Azure Edition não é afetado por esse problema.
Para resolver esse problema, uma série de etapas manuais é recomendada. A falha na aplicação de qualquer solução alternativa resultará em atualizações regulares não hotpatch até, e incluindo, o próximo mês base que está atualmente agendado para janeiro de 2026. Essas atualizações exigem uma reinicialização a cada mês.
Há duas maneiras de aplicar a solução manual nas máquinas afetadas. Cada uma das opções fornecidas oferece uma solução completa. Você precisará aplicar a solução alternativa em cada uma das máquinas afetadas antes que a próxima atualização seja oferecida, o que é antecipado na próxima data de "terça-feira de correção" de 11 de novembro de 2025. A aplicação da solução alternativa requer uma reinicialização, portanto, planeje de acordo.
Depois de aplicar qualquer uma das soluções alternativas, as atualizações de hotpatch lançadas em novembro e dezembro de 2025 serão instaladas sem exigir uma reinicialização.
Opção 1: Usar a Diretiva Local ou de Grupo para habilitar a correção
Transfira e instale o pacote Feature Preview do Windows 11 24H2, Windows 11 25H2 e Windows Server 2025 KB5062660 251028_18301. Isso instala o modelo de Diretiva Local ou de Grupo (
ADMXarquivo) para essa correção específica.Selecione Iniciar, digite gpedit e selecione Editar política de grupo. Navegue até Configuração do Computador\Modelos Administrativos\KB5062660 251028_18301 Feature Preview\Windows 11, versão 24H2, 25H2\KB5062660 251028_18301 Feature Preview.
Para obter mais informações sobre como implantar e configurar essa Diretiva de Grupo especial, consulte Usar a Diretiva de Grupo para habilitar uma atualização desabilitada por padrão.
No painel direito da janela, abra a Pré-visualização de Funcionalidades do KB5062660 251028_18301, selecione Ativado e, em seguida, selecione OK.
Reinicialize a máquina afetada.
Execute o seguinte comando para remover a entrada DeviceLicensingServiceCommandMutex do registo. Se esta entrada não estiver presente no dispositivo afetado, a remoção será ignorada.
try { Remove-ItemProperty -Path 'HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Subscriptions' -Name 'DeviceLicensingServiceCommandMutex' -ErrorAction Stop } catch { Write-Host "DeviceLicensingServiceCommandMutex entry not present, skipping removal." }Como alternativa, use sua ferramenta de edição de registro preferida ou solução de automação para excluir o mesmo valor. Não exclua toda a chave do Registro.
Opção 2: Usar um script para habilitar a correção
Abra uma janela elevada do PowerShell em cada uma das máquinas afetadas e execute os seguintes comandos. O último comando solicita que você reinicie o dispositivo. A mitigação não será concluída até que a máquina seja reinicializada e é recomendável reiniciar imediatamente após executar esse script.
Stop-Service -Name 'HIMDS'
New-Item -Path 'HKLM:\SYSTEM\CurrentControlSet\Policies\Microsoft\FeatureManagement\Overrides' -Force
New-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Policies\Microsoft\FeatureManagement\Overrides' -PropertyType 'dword' -Name '4264695439' -Value 1 -Force
try {
Remove-ItemProperty -Path 'HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Subscriptions' -Name 'DeviceLicensingServiceCommandMutex' -ErrorAction Stop
} catch {
Write-Host "DeviceLicensingServiceCommandMutex entry not present, skipping removal."
}
Restart-Computer -Confirm
Próximos passos
Agora que o Hotpatch está ativado, aqui estão alguns artigos que podem ajudá-lo com a atualização do seu computador.