Activer Hotpatch pour les serveurs avec Azure Arc

Hotpatch vous permet de mettre à jour votre installation de Windows Server sans exiger que vos utilisateurs redémarrent après l’installation. Cette fonctionnalité réduit le temps d’arrêt consacré aux mises à jour et permet à vos utilisateurs d’exécuter leurs charges de travail sans interruption. Pour plus d’informations sur le fonctionnement de Hotpatch, consultez Hotpatch pour Windows Server.

Windows Server 2025 offre la possibilité d’activer Hotpatch pour les serveurs avec Azure Arc. Pour utiliser Hotpatch sur des serveurs avec Azure Arc, il vous suffit de déployer l’agent Connected Machine et d’activer Windows Server Hotpatch. Cet article explique comment activer Hotpatch.

Prérequis

Avant de pouvoir activer Hotpatch sur les serveurs avec Arc pour Windows Server 2025, vous devez répondre aux exigences suivantes.

• Un serveur doit exécuter Windows Server 2025 (build 26100.1742 ou version ultérieure). Les versions en préversion ou les builds Windows Server Insiders ne sont pas prises en charge, car les correctifs chauds ne sont pas créés pour les systèmes d’exploitation de préversion.

• L’ordinateur doit exécuter l’une des éditions suivantes de Windows Server.

  • Windows Server 2025 Standard
  • Windows Server 2025 Datacenter
  • Windows Server 2025 Datacenter : Azure Edition. Cette édition n’a pas besoin d’être activée par Azure Arc, Hotpatch est déjà activée par défaut. Les prérequis techniques restants s’appliquent toujours.

• Les options d’installation Server avec expérience utilisateur et Server Core sont prises en charge.

• La machine physique ou virtuelle sur laquelle vous envisagez d’activer Hotpatch doit satisfaire les exigences de sécurité basée sur la virtualisation (VBS), également appelée mode de sécurité virtuel (VSM). Au minimum, la machine doit utiliser l’interface de microprogramme extensible unifiée (UEFI) avec le démarrage sécurisé activé. Par conséquent, pour une machine virtuelle sur Hyper-V, il doit s’agir d’une machine virtuelle génération 2.

• Un abonnement Azure. Si vous n’en avez pas encore, créez un compte gratuit avant de commencer.

• Votre serveur et votre infrastructure doivent satisfaire les conditions préalables de l'agent Connected Machine afin d'activer Azure Arc sur un serveur.

• La machine doit être connectée à Azure Arc (avec Arc). Pour en savoir plus sur l’intégration de votre machine à Azure Arc, consultez les options de déploiement de l’agent De machine connectée Azure.

Vérifier et activer le mode sécurisé virtuel si nécessaire

Lorsque vous activez Hotpatch à l’aide du portail Azure, il vérifie si le mode sécurisé virtuel (VSM) s’exécute sur la machine. Si VSM n’est pas en cours d’exécution, l’activation de hotpatch échouera et vous devrez activer VSM.

Vous pouvez également vérifier manuellement l’état de VSM avant d’activer Hotpatch. VSM peut être déjà activé si vous avez précédemment configuré d’autres fonctionnalités qui (comme Hotpatch) dépendent de VSM. Parmi les exemples courants de ces fonctionnalités, citons Credential guard ou protection basée sur la virtualisation de l’intégrité du code, également appelée intégrité du code protégé par hyperviseur (HVCI).

Pour vérifier que VSM est configuré et en cours d’exécution, sélectionnez votre méthode préférée et examinez la sortie.

Get-CimInstance -Namespace 'root/Microsoft/Windows/DeviceGuard' -ClassName 'win32_deviceGuard' | Select-Object -ExpandProperty 'VirtualizationBasedSecurityStatus'

for /f "tokens=2 delims==" %a in ('wmic.exe /namespace:\\root\Microsoft\Windows\DeviceGuard path win32_deviceGuard GET VirtualizationBasedSecurityStatus /value ^| find "="') do @echo %a

Si la sortie de commande est 2, VSM est configuré et en cours d’exécution. Dans ce cas, passez directement à l’activation de Hotpatch sur Windows Server 2025.

Si la sortie n’est pas 2, vous devez activer VSM.

New-ItemProperty -Path 'HKLM:\System\CurrentControlSet\Control\DeviceGuard' -Name 'EnableVirtualizationBasedSecurity' -PropertyType 'Dword' -Value 1 -Force

reg.exe add "HKLM\System\CurrentControlSet\Control\DeviceGuard" /v "EnableVirtualizationBasedSecurity" /t REG_DWORD /d 1 /f

Get-CimInstance -Namespace 'root/Microsoft/Windows/DeviceGuard' -ClassName 'win32_deviceGuard' | Select-Object -ExpandProperty 'VirtualizationBasedSecurityStatus'

for /f "tokens=2 delims==" %a in ('wmic.exe /namespace:\\root\Microsoft\Windows\DeviceGuard path win32_deviceGuard GET VirtualizationBasedSecurityStatus /value ^| find "="') do @echo %a

Activer Hotpatch sur Windows Server 2025

1. Connectez la machine à Azure Arc, si elle n’était pas activée précédemment.

2. Une fois que vous avez connecté la machine à Azure Arc, connectez-vous au portail Azure Arc et accédez à Azure Arc → Machines.

3. Sélectionnez le nom de votre machine.

4. Sélectionnez Hotpatch, puis Confirm.

5. Attendez environ 10 minutes pour que les modifications s’appliquent. Si la mise à jour reste bloquée sur le statut En attente, passez au dépannage de l'agent Azure Arc.

Utilisation de Hotpatch sur Windows Server 2025

Chaque fois qu’un Hotpatch est disponible à partir de Windows Update, vous devez recevoir une invite pour l’installer. Étant donné que ces mises à jour ne sont pas publiées tous les mois, vous devrez peut-être attendre que le hotpatch suivant soit publié.

Vous pouvez éventuellement automatiser l’installation de hotpatch à l’aide d’outils de gestion des mises à jour, tels que Azure Update Manager (AUM).

Problèmes connus

Mises à jour multiples publiées en octobre 2025

En octobre 2025, Microsoft a publié plusieurs mises à jour qui ont été proposées à certains clients Windows Server. Si vous êtes inscrit à hotpatch ou prévoyez de vous inscrire et que vous envisagez d’installer les mises à jour hotpatch en novembre et décembre 2025, vérifiez que vos machines Windows Server s’exécutent exactement sur l’un des niveaux de mise à jour suivants.

• 14 octobre 2025 - KB5066835 (build du système d’exploitation 26100.6899)
• 24 octobre 2025 - KB5070893 (build du système d’exploitation 26100.6905) Mise à jour de sécurité pour Windows Server Update Services

Si vous avez installé l’une des autres mises à jour d’octobre, cela entraînera des mises à jour régulières non-hotpatch jusqu’au mois de référence suivant, actuellement prévu pour janvier 2026. Ces mises à jour nécessitent un redémarrage chaque mois. En particulier, la mise à jour suivante, si elle est installée, rend l’ordinateur incompatible avec les mises à jour à venir : 23 octobre 2025 - KB5070881 (build du système d’exploitation 26100.6905) Hors bande, et toute autre mise à jour non répertoriée explicitement dans cette section.

Problème de licence des fonctionnalités dans les mises à jour d’octobre 2025

Un problème a été identifié avec les mises à jour de sécurité d’octobre 2025 pour Windows Server 2025. Cela peut avoir un impact sur les clients exécutant la mise à jour du 14 octobre 2025 - KB5066835 (build du système d’exploitation 26100.6899) ou une version ultérieure. En raison de ce problème, le comportement inattendu suivant peut être observé.

• L’activation du hotpatching Windows Server via Azure Arc sur de nouvelles machines peut échouer ou ne pas se terminer comme prévu. Au lieu de cela, l’activation des fonctionnalités reste dans l’état « En cours » jusqu’à ce que le problème soit résolu.
• Sur les ordinateurs précédemment activés pour le hotpatching Windows Server, la licence de fonctionnalité peut expirer, ce qui empêche l’installation de Hotpatch suivante. Au lieu de cela, la prochaine mise à jour entraîne un redémarrage si aucune action n’est effectuée.

Le hotpatching sur Windows Server 2025 Datacenter : Azure Edition n'est pas affecté par ce problème.

Pour résoudre ce problème, une série d’étapes manuelles est recommandée. L’échec de l’application de l’une ou l’autre solution de contournement entraînera des mises à jour régulières non-hotpatch jusqu'au prochain mois de référence prévu actuellement pour janvier 2026. Ces mises à jour nécessitent un redémarrage chaque mois.

Il existe deux façons d’appliquer la solution de contournement manuelle sur les machines affectées. Chacune des options fournies offre une solution complète. Vous devez appliquer la solution de contournement sur chacun des ordinateurs concernés avant la prochaine mise à jour, qui est prévue dans la prochaine date de « mardi de correctif » du 11 novembre 2025. L’application de la solution de contournement nécessite un redémarrage. Par conséquent, planifiez-le en conséquence.

Après avoir appliqué l’une ou l’autre solution de contournement, les mises à jour hotpatch publiées en novembre et décembre 2025 seront installées sans nécessiter de redémarrage.

Option 1 : Utiliser une stratégie de groupe ou locale pour activer la correction

1. Téléchargez et installez le package Windows 11 24H2, Windows 11 25H2 et Windows Server 2025 KB5062660 251028_18301 Feature Preview . Cela installe le modèle de stratégie de groupe ou local (ADMX fichier) pour cette correction spécifique.

2. Sélectionnez Démarrer, tapez gpedit, puis modifiez la stratégie de groupe. Accédez à Configuration ordinateur\Modèles d’administration\KB5062660 251028_18301 Feature Preview\Windows 11, version 24H2, 25H2\KB5062660 251028_18301 Feature Preview.

   Pour plus d’informations sur le déploiement et la configuration de cette stratégie de groupe spéciale, consultez Utiliser la stratégie de groupe pour activer une mise à jour désactivée par défaut.

3. Dans le volet de fenêtre de droite, ouvrez KB5062660 251028_18301 Feature Preview, sélectionnez Activé, puis sélectionnez OK.

4. Redémarrez l’ordinateur concerné.

5. Exécutez la commande suivante pour supprimer l’entrée DeviceLicensingServiceCommandMutex du Registre. Si cette entrée n’est pas présente sur l’appareil concerné, la suppression est ignorée.

   try {
   Remove-ItemProperty -Path 'HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Subscriptions' -Name 'DeviceLicensingServiceCommandMutex' -ErrorAction Stop
   } catch {
   Write-Host "DeviceLicensingServiceCommandMutex entry not present, skipping removal."
   }
   

   Vous pouvez également utiliser votre outil d’édition de Registre ou votre solution d’automatisation préféré pour supprimer la même valeur. Ne supprimez pas toute la clé de Registre.

Option 2 : Utiliser un script pour activer la correction

Ouvrez une fenêtre PowerShell avec élévation de privilèges sur chacune des machines affectées et exécutez les commandes suivantes. La dernière commande vous invite à redémarrer votre appareil. L’atténuation n’est pas terminée tant que l’ordinateur n’est pas redémarré et qu’il est recommandé de redémarrer immédiatement après l’exécution de ce script.

Stop-Service -Name 'HIMDS'
New-Item -Path 'HKLM:\SYSTEM\CurrentControlSet\Policies\Microsoft\FeatureManagement\Overrides' -Force
New-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Policies\Microsoft\FeatureManagement\Overrides' -PropertyType 'dword' -Name '4264695439' -Value 1 -Force
try {
  Remove-ItemProperty -Path 'HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Subscriptions' -Name 'DeviceLicensingServiceCommandMutex' -ErrorAction Stop
} catch {
  Write-Host "DeviceLicensingServiceCommandMutex entry not present, skipping removal."
}
Restart-Computer -Confirm

Étapes suivantes

Maintenant que Hotpatch est activé, voici quelques articles qui peuvent vous aider à mettre à jour votre ordinateur.

• Hotpatch pour Windows Server
• Appliquer un correctif à une installation Server Core
• Mise à jour corrective automatique des invités pour les machines virtuelles
• Gestionnaire de mises à jour Azure