Non dovete più riavviare Windows: in arrivo la grande novità delle patch a caldo

Lo dicevamo almeno da due anni e quello che auspicavamo da tempo sembra si stia finalmente trasformando in realtà. L’hotpatching, ovvero l’installazione delle patch a caldo, è un meccanismo che consente l’applicazione degli aggiornamenti di sicurezza Microsoft senza riavviare il sistema. Al momento l’azienda di Redmond aveva introdotto questo sistema in Windows Server ma non si era espressa circa l’eventuale intenzione di portare l’hotpatching sulle edizioni di Windows destinate a una platea più ampia (ad esempio Pro, Enterprise ed Education).

Riavviare Windows per installare gli aggiornamenti sarà cosa del passato

L’hotpatching è una tecnica di aggiornamento software che consente di apportare modifiche o correzioni a un’applicazione o al sistema operativo senza dover riavviare il programma o il sistema. Questo tipo di processo consente di evitare i tipici tempi di inattività e le interruzioni nei servizi durante l’applicazione delle patch.

L’installazione delle patch a caldo utilizza un approccio intelligente: anziché operare a livello di file system, le modifiche correttive sono temporaneamente apportate in memoria RAM. In questo modo si può garantire l’efficacia degli interventi di sicurezza senza obbligare gli utenti e gli amministratori IT a frequenti riavvii delle macchine.

Progetto simbolo dell’approccio basato sull’hotpatching è 0patch di ACROS Security ma adesso anche Microsoft, forse proprio ispirandosi a quello schema, sembra aver intelligentemente imboccato la stessa strada.

Con la pubblicazione della versione finale di Windows 11 24H2, prevista per l’autunno 2024, Microsoft dovrebbe finalmente portare l’hotpatching su Windows 11. Un primo indizio era arrivato, di recente, con la decisione dell’azienda di Redmond di estendere le patch a caldo anche alle versioni di Windows Server 2022 non ospitate sulla piattaforma Azure.

Requisito essenziale: funzionalità VBS (Virtualization Based Security) abilitata

Seguendo l’impronta già utilizzata nel caso di Windows Server 2022, gli utenti di Windows 11 potranno installare la patch senza riavviare. La loro efficacia diverrà immediatamente effettiva e non saranno necessari passaggi aggiuntivi.

Alla prima occasione in cui l’utente, per qualsiasi motivo, si troverà a riavviare il suo sistema, gli aggiornamenti applicati in-memory saranno apportati a livello di file system, quindi ad esempio modificando le librerie, gli eseguibili e gli altri componenti software di Windows.

L’unico requisito per beneficiare dell’hotpatching, consisterà nell’attivazione dalla funzionalità di protezione VBS (Virtualization Based Security).

VBS è una tecnologia di sicurezza integrata nelle più recenti versioni di Windows e Windows Server che utilizza la virtualizzazione per isolare e proteggere determinate aree della memoria e del sistema operativo. La creazione di un ambiente di esecuzione separato e protetto per determinate applicazioni e processi, con il conseguente isolamento dal resto del sistema operativo, impedisce a malware e ad altre minacce di danneggiare i dati e le impostazioni critiche del sistema.

In altri articoli, tuttavia, abbiamo evidenziato che VBS può rallentare le prestazioni di Windows, almeno in alcune situazioni molto specifiche (lo sanno bene gli appassionati di gaming…).

Quali sistemi Windows 11 potranno beneficiare delle patch a caldo Microsoft

Fonti vicine a Microsoft confermano che la funzionalità di hotpatching arriverà sulle macchine Windows 11 24H2 x86-64 entro la fine del 2024. Per i dispositivi ARM64 basati su Windows on ARM, invece, ci sarà da aspettare almeno fino al 2025.

Non è chiaro, inoltre, se le patch a caldo saranno disponibili per tutti gli utenti di Windows 11 o se saranno riservate a coloro che usano edizioni Enterprise, Education (si spera anche Pro) e Windows 365.