Il meccanismo di hotpatching è una novità epocale per Microsoft e per gli utenti di Windows. Con questo nuovo approccio diventa possibile applicare gli aggiornamenti Windows modificando in memoria il codice dei processi in esecuzione, senza la necessità di riavviare il sistema al termine dell’installazione. A fine 2024 avevamo chiesto l’abilitazione delle hotpatch su Windows per tutti i professionisti. E Microsoft ha parzialmente esaudito la richiesta abilitando il sistema di hotpatching, per ora, su Windows 11 Enterprise.

Come funzionano le hotpatch, in breve

La possibilità di fruire delle hotpatch rappresenta un importante passo avanti. Gli amministratori IT possono infatti applicare le correzioni per le ultime vulnerabilità scoperte in Windows e negli altri software Microsoft, riducendo al minimo le interruzioni per gli utenti finali.

Si pensi a un sistema che fornisce servizi essenziali: in tante situazioni, anche limitando le attività alla fascia notturna, possono verificarsi interruzioni proprio per via della necessità di riavviare la macchina al fine di rendere operative le patch Microsoft. L’hotpatching rappresenta una soluzione convincente, perché si possono sempre attivare le protezioni più aggiornate ed efficaci senza disporre alcun reboot. È la soluzione che da tempo propone 0patch (Acros Security) e che contribuirà ad estendere la vita di Windows 10 almeno fino al 2030, ben oltre il periodo di supporto fissato da Microsoft.

Diversamente rispetto a 0patch, tuttavia, Microsoft prevede che gli utenti che si avvalgono dell’hotpatching riavviino i loro sistemi almeno 4 volte l’anno. Il ciclo di hotpatching è infatti trimestrale: otto mesi su dodici non sarà necessario riavviare il dispositivo per applicare gli aggiornamenti di sicurezza.

Hotpatching su Windows 11 Enterprise, ma non per tutti

La decisione di Microsoft di portare l’hotpatching su Windows 11 Enterprise 24H2 è certamente una buona notizia. Tuttavia, l’accesso alla nuova funzionalità risulta ancora ampiamente limitato.

Per attivare hotpatching sui dispositivi Windows 11 Enterprise, sono necessari i seguenti requisiti:

Un abbonamento Microsoft valido, come Windows 11 Enterprise E3, E5 o F3, Windows 11 Education A3 o A5, o una sottoscrizione Windows 365 Enterprise.

valido, come Windows 11 Enterprise E3, E5 o F3, Windows 11 Education A3 o A5, o una sottoscrizione Windows 365 Enterprise. Un PC con Windows 11 Enterprise 24H2 aggiornato.

Un processore x64 (AMD64 o Intel).

(AMD64 o Intel). Funzionalità Virtualization-based Security ( VBS ) abilitata.

) abilitata. Gestione degli aggiornamenti tramite Microsoft Intune e abilitazione della politica di aggiornamento qualitativo mediante Hotpatch.

Per abilitare o disabilitare hotpatching, gli amministratori IT possono accedere al pannello di amministrazione di Microsoft Intune e portarsi nella sezione Devices, Windows updates, Create Windows quality update policy per creare la regola di aggiornamento qualitativo.

Evoluzione della tecnologia Hotpatch

Microsoft ha introdotto per la prima volta il supporto hotpatching in Windows Server Azure Edition per le macchine virtuali, rendendolo disponibile a partire da febbraio 2022 con Windows Server 2022 Datacenter: Azure Edition. Successivamente, a settembre 2024, l’azienda di Redmond ha avviato il test in anteprima pubblica per Windows Server 2025.

Ci auguriamo che il sistema di hotpatching possa essere esteso a una platea di utenti ancora più ampia, svincolandolo dall’utilizzo esclusivo di Intune.

Credit immagine in apertura: Microsoft