Hotpatching voorkomt downtime door reguliere patches zonder een herstart uit te rollen. Deze methode zou eigenlijk verdwijnen met Windows Server 2022. Echter blijkt de gebruiksvriendelijke feature alsnog beschikbaar voor Windows Server 2022 Datacenter: Azure Edition.
Dat ontdekte The Register op basis van een Windows Release Health-dashboard. Hoewel de supportperiode zijn einde nadert met 31 oktober 2026 als deadline, blijft hotpatching voor Azure Edition in 2027 mogelijk. Extended support is beschikbaar tot 2031.
Hotpatching is meer dan handig
Het proces van hotpatching draait om het niet hoeven herstarten van een draaiende machine. In het geval van apparatuur die het Windows Server-OS draaien, is het goed mogelijk dat de processen die erop draaien continu zijn en kritiek van aard. Beheerders kiezen daarom soms ervoor om hun systemen niet te herstarten voor patches, ook al is elke geïnstalleerde patch in principe een verbetering van het securityniveau van een organisatie.
Hotpatching, tevens beschikbaar op enterprise Linux-distributies zoals Ubuntu LTS, RHEL en afgeleide OS’en, is eveneens beschikbaar op Windows Server 2025. Recent werd dit voor de on-prem editie hiervan via Azure Arc gratis. Niet geheel toevallig is Server 2025 ook de versie van het eigen besturingssysteem die Microsoft aanraadt om op over te stappen vanuit Server 2022. Het feit dat dit niet meer een betaalde optie is, is een goede zaak. In principe moeten basale securityfeatures als deze nooit achter een betaalmuur zitten, als je het ons vraagt.
Geen frictie, maar complex
Ongeacht de OS-versie is hotpatching nooit op Windows een permanente oplossing. Grotere cumulatieve updates verschijnen eenmaal per kwartaal en hebben wel een herstart nodig. Rebootless patching, waarbij de kernel zonder downtime kan worden geüpdatet, is op Linux wel theoretisch mogelijk.
Het proces is hoe dan ook een complex staaltje stuivertje wisselen binnen het systeemgeheugen (RAM). Voor het voortdurend draaien van het OS kan deze niet volledig worden overgeschreven; het is dus zaak voor hotpatching-implementaties om enkel de RAM-data te wijzigen waar de patch voor geldt. Dit proces levert een frictieloze update op zonder downtime, maar zoals altijd geldt voor RAM-gerelateerde zaken: een ongeluk zit in een klein hoekje. Bij corruptie kan een systeem alsnog onderuit gaan, dus voor Microsoft en Linux-vendoren is hotpatching een grote verantwoordelijkheid.