Microsoft spiega come funziona l’hotpatching di Windows Server
L’anno scorso, Microsoft ha descritto il suo lavoro sull’applicazione di patch a caldo per gli aggiornamenti di Windows per applicare gli aggiornamenti al volo ai sistemi Windows ed eliminare la necessità di riavviare i sistemi per installare gli aggiornamenti. Un nuovo post sul blog sul sito Web della community tecnologica di Microsoft annuncia l’introduzione del supporto per le patch a caldo in Azure Automange per Windows Server. Microsoft ha rilasciato di recente Windows Server 2022 .
L’applicazione di patch a caldo offre numerosi vantaggi rispetto ai metodi tradizionali di installazione degli aggiornamenti su macchine Windows. Microsoft evidenzia i tre vantaggi principali nel post del blog:
- Meno riavvii, che migliora la disponibilità.
- Distribuzione più rapida, poiché i pacchetti di aggiornamento “sono più piccoli, si installano più velocemente e hanno un’orchestrazione delle patch più semplice”.
- Protezione migliorata, poiché gli aggiornamenti di sicurezza possono essere installati immediatamente invece di pianificare un riavvio.
L’applicazione di patch a caldo funziona “stabilisce una linea di base con un aggiornamento cumulativo più recente di Windows Update” secondo Microsoft. L’azienda prevede di rilasciare periodicamente hotpatch che si basano su quella linea di base e questi aggiornamenti non richiedono un riavvio. La linea di base viene aggiornata con nuovi aggiornamenti cumulativi, quindi anche periodicamente.
Gli hotpatch potrebbero essere rilasciati ogni Patch Tuesday (una volta al mese) e le nuove baseline potrebbero essere rilasciate ogni tre mesi. Nel migliore dei casi, i server dovrebbero essere riavviati quattro volte all’anno, quando vengono applicate nuove linee di base.
Microsoft distingue tra baseline pianificate e non pianificate Le baseline pianificate vengono rilasciate a cadenza regolare per spostare il sistema su una nuova baseline. Gli hotpatch possono quindi essere installati tra queste versioni di base pianificate.
Le linee di base non pianificate sono necessarie per applicare le patch ai sistemi se non è possibile utilizzare le patch a caldo per una patch particolare. Microsoft menziona in particolare le correzioni per le vulnerabilità di 0 giorni. Queste versioni di base non pianificate richiedono un riavvio e includono tutto il contenuto dell’ultimo aggiornamento cumulativo.
Gli aggiornamenti possono essere installati al di fuori del programma Hotpatch secondo Microsoft, ma è necessario disabilitare e annullare la registrazione dell’hotpatch per tornare al comportamento di aggiornamento predefinito per Windows Server. La reiscrizione è possibile in qualsiasi momento.
Il resto dell’annuncio offre dettagli sull’implementazione per gli amministratori di server.
Parole di chiusura
L’applicazione di patch a caldo migliora la disponibilità di Windows Server riducendo il numero di riavvii correlati agli aggiornamenti nel tempo. Inoltre, gli aggiornamenti di sicurezza distribuiti tramite hotpatching vengono applicati immediatamente invece di richiedere un riavvio (immediato o nei tempi previsti); ciò riduce il tempo in cui la macchina è vulnerabile a potenziali attacchi mirati alla vulnerabilità.
Microsoft sta lavorando per portare la funzionalità di patch a caldo a un “set più ampio di clienti Windows”. Non è chiaro se questo includerà le versioni consumer di Windows.
Ora tu : qual è la tua opinione sull’applicazione di patch a caldo? Lo useresti? (tramite Deskmodder )