Windows 11 Enterprise-gebruikers kunnen voortaan updates installeren zonder dat daar een herstart van het systeem voor nodig is.
Na eerdere experimenten en aankondigingen, onder andere voor Windows Server, lanceert Microsoft nu ‘hotpatch’-updates voor Windows 11 in de praktijk. Hotpatches zijn updates die je kan installeren zonder dat de pc moet herstarten. Dat minimaliseert de impact van soms belangrijke patches, wat de kans groter maakt dat ze snel geïnstalleerd worden.
De hotpatch-updates komen in eerste instantie naar Windows 11 Enterprise. Het systeem is op dit moment enkel compatibel met Windows 11 Enterprise 24H2 voor x64 (voor x86 – Intel of AMD).
Beleidsregels
Om aan de start te gaan met hotpatches, moet de IT-beheerder eerst toestemming verlenen via beleid in Windows Autopatch in de Intune-console. Navigeer daarvoor naar Devices > Windows updates > Create Windows quality update policy en zet waarde voor de hotpatch-capaciteit naar naar Allow.
Alle compatibele systemen die onder de policy vallen, komen in een hotpatch-cyclus terecht. Microsoft zal hotpatches op een gelijkaardig stramien uitrollen als gewone updates, maar heeft ze andere KB-nummers mee. De beleidsregel detecteert automatisch of systemen compatibel zijn. Je kan hotpatches dus uniform inschakelen, ook wanneer niet-compatibele toestellen onder het beleid vallen.
Kadans
Het huidige plan is om ieder kwartaal een update te lanceren met functies en andere aanpassingen die wel een herstart vereist. Die komt dan op dezelfde manier naar alle systemen. Op de twee maanden tussen ieder kwartaal voorziet Microsoft de hotpatch-updates. Dat betekent dat Windows 11 Enterprise-systemen in theorie maar vier keer per jaar verplicht moeten heropstarten voor een reboot, in de plaats van twaalf keer.
Microsoft laat nog weten dat er bijkomende voorwaarden zijn om het systeem te benutten:
Een Microsoft-abonnement Windows 11 Enterprise E3, E5, of F3, Windows 11 Education A3 of A5, of een Windows 365 Enterprise-abonnement;
- Windows 11 Enterprise versie 24H2 (Build 26100.2033 of recenter)
- Een x64-CPU van Intel of AMD;
- Microsoft Intune om de uitrol van hotpatch-updates te beheren;
- Virtualization-based Security (VBS) moet ingeschakeld zijn.
Microsoft werkt nog aan hotpatch-updates voor ARM-systemen. Die komen eraan, maar zijn nog in publieke preview.
Veel voordelen, niet voor iedereen
Microsoft wijst terecht op de grote beveiligingsvoordelen die hotpatch-updates met zich meebrengen. Door gebruikers niet te vragen te herstarten, kunnen belangrijke beveiligingsupdates automatisch op de achtergrond geïntegreerd worden. Zero day-aanvallen van hackers viseren doorgaans vooral kwetsbare systemen die nog niet gepatcht zijn, maar waarvoor een patch in feite al wel beschikbaar was. Deze aanpak maakt dat scenario onwaarschijnlijker.
De focus op Windows 11 Enterprise en bijhorend abonnement is wel interessant. Omdat hotpatches de beveiliging ten goede komen, zou je kunnen vermoeden dat Microsoft voor een brede uitrol wil kiezen met zo weinig mogelijk voorwaarden. Het is onduidelijk of Windows 11 pro en Home-systemen snel zullen volgen met de capaciteit, en welke voorwaarden daar dan eventueel aan verbonden zijn.