Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Importante
O Hotpatch habilitado para Azure Arc para Windows Server 2025 agora está disponível por uma taxa de assinatura mensal. Para saber mais sobre preços, confira Cansado de todas as reinicializações? Obter hotpatching para Windows Server.
O Hotpatch permite que você atualize a instalação do Windows Server sem exigir que os usuários reiniciem após a instalação. Esse recurso minimiza o tempo de inatividade gasto em atualizações e mantém os usuários executando suas cargas de trabalho ininterruptamente. Para obter mais informações sobre como o Hotpatch funciona, consulte Hotpatch para Windows Server.
O Windows Server 2025 apresenta a capacidade de habilitar o Hotpatch para servidores habilitados para Azure Arc. Para usar o Hotpatch em servidores habilitados para Azure Arc, tudo o que você precisa fazer é implantar o agente do Connected Machine e habilitar o Windows Server Hotpatch. Este artigo descreve como habilitar o Hotpatch.
Pré-requisitos
Antes de habilitar o Hotpatch em servidores habilitados para Arc para Windows Server 2025, você precisa atender aos requisitos a seguir.
Um servidor deve estar executando o Windows Server 2025 (build 26100.1742 ou posterior). Não há suporte para versões prévias ou builds do Windows Server Insider porque os hotpatches não são criados para pré-lançamento de sistemas operacionais.
O computador deve estar executando uma das edições a seguir do Windows Server.
- Windows Server 2025 Standard
- Windows Server 2025 Data center
- Windows Server 2025 Datacenter: Azure Edition. Esta edição não precisa ser habilitada para Azure Arc, o Hotpatch já está habilitado por padrão. Os pré-requisitos técnicos restantes ainda se aplicam.
Há suporte para as opções de instalação Do Servidor com Experiência de Área de Trabalho e Server Core .
A máquina física ou virtual na qual você pretende habilitar o Hotpatch precisa atender aos requisitos de VBS ( segurança baseada em virtualização ), também conhecida como VSM ( Modo de Segurança Virtual ). No mínimo, o computador precisa usar UEFI (interface de firmware extensível unificada) com a inicialização segura habilitada. Portanto, para uma VM (máquina virtual) no Hyper-V, ela precisa ser uma máquina virtual de geração 2.
Uma assinatura do Azure. Se ainda não tiver uma, crie uma conta gratuita antes de começar.
O servidor e a infraestrutura devem atender aos pré-requisitos do agente do Connected Machine para habilitar o Azure Arc em um servidor.
O computador deve estar conectado ao Azure Arc (habilitado para Arc). Para saber mais sobre como integrar seu computador ao Azure Arc, consulte as opções de implantação do agente do Azure Connected Machine.
Verificar e habilitar o Modo de Segurança Virtual, se necessário
Quando você habilita o Hotpatch usando o portal do Azure, ele verifica se o VSM ( Modo de Segurança Virtual ) está em execução no computador. Se o VSM não estiver em execução, a habilitação do hotpatch falhará e você terá que habilitar o VSM.
Como alternativa, você pode verificar o status do VSM manualmente antes de habilitar o Hotpatch. O VSM pode já estar habilitado se você tiver configurado anteriormente outros recursos que (como o Hotpatch) dependem do VSM. Exemplos comuns desses recursos incluem o Credential Guard ou a proteção baseada em virtualização da integridade de código, também conhecida como HVCI (integridade de código protegida pelo Hipervisor).
Dica
Você pode usar a política de grupo ou outra ferramenta de gerenciamento centralizada para habilitar um ou mais dos recursos a seguir.
- Guardião de Credenciais
- Contas de computador protegidas do Credential Guard
- Proteção baseada em virtualização da integridade do código
- Inicialização segura do System Guard e proteção do SMM
- Proteção de pilha imposta por hardware do modo Kernel
- Servidor de núcleo protegido
Configurar qualquer um desses recursos também habilita o VSM.
Para verificar se o VSM está configurado e em execução, selecione seu método preferencial e examine a saída.
Get-CimInstance -Namespace 'root/Microsoft/Windows/DeviceGuard' -ClassName 'win32_deviceGuard' | Select-Object -ExpandProperty 'VirtualizationBasedSecurityStatus'
Se a saída do comando for 2, o VSM estará configurado e em execução. Nesse caso, prossiga diretamente para Habilitar o Hotpatch no Windows Server 2025.
Se a saída não 2estiver, você precisará habilitar o VSM.
Para habilitar o VSM, expanda esta seção.
Habilite o VSM usando um dos comandos a seguir.
New-ItemProperty -Path 'HKLM:\System\CurrentControlSet\Control\DeviceGuard' -Name 'EnableVirtualizationBasedSecurity' -PropertyType 'Dword' -Value 1 -Force
Dica
Depois de habilitar o VSM, você precisa reiniciar o servidor.
Depois de reinicializar, execute um dos comandos a seguir novamente para verificar se a saída agora 2 está em execução.
Get-CimInstance -Namespace 'root/Microsoft/Windows/DeviceGuard' -ClassName 'win32_deviceGuard' | Select-Object -ExpandProperty 'VirtualizationBasedSecurityStatus'
Se a saída ainda não 2estiver, o VSM em seu computador precisará de solução de problemas. O motivo mais provável é que os requisitos de hardware físico ou virtual não são atendidos. Consulte a documentação do fornecedor de sua plataforma de hardware ou virtualização. Por exemplo, aqui está a documentação do VMware vSphere, ative a segurança baseada em virtualização em uma máquina virtual existente.
Depois de habilitar o VSM com êxito e certificar-se de que ele está em execução, prossiga para a próxima seção.
Habilitar o Hotpatch no Windows Server 2025
Conecte o computador ao Azure Arc, caso ele não tenha sido habilitado para Arc anteriormente.
Depois de conectar o computador ao Azure Arc, entre no portal do Azure Arc e acesse o Azure Arc → Machines.
Selecione o nome do seu computador.
Selecione Hotpatche, em seguida, confirme.
Aguarde cerca de 10 minutos para que as alterações sejam aplicadas. Se a atualização permanecer paralisada no status pendente , prossiga para solucionar problemas do agente do Azure Arc.
Usando o Hotpatch no Windows Server 2025
Sempre que um Hotpatch estiver disponível no Windows Update, você deverá receber um prompt para instalá-lo. Como essas atualizações não são lançadas todos os meses, talvez seja necessário aguardar até que o próximo Hotpatch seja publicado.
Opcionalmente, você pode automatizar a instalação de hotpatch usando ferramentas de gerenciamento de atualizações, como o AUM (Azure Update Manager ).
Problemas conhecidos
Várias atualizações lançadas em outubro de 2025
Em outubro de 2025, a Microsoft lançou várias atualizações que foram oferecidas a alguns clientes do Windows Server. Se você se registrou no hotpatch ou planeja se registrar e planeja instalar atualizações de hotpatch em novembro e dezembro de 2025, verifique se os computadores do Windows Server estão em execução exatamente em um dos níveis de atualização a seguir.
- 14 de outubro de 2025 – KB5066835 (build do sistema operacional 26100.6899)
- 24 de outubro de 2025 – atualização de segurança do KB5070893 (sistema operacional build 26100.6905) para o Windows Server Update Services
Se você tiver uma das outras atualizações de outubro instaladas, isso resultará em atualizações regulares não frequentes até, e incluindo, o próximo mês de linha de base que está atualmente agendado para janeiro de 2026. Essas atualizações exigem uma reinicialização a cada mês. Em especial, a seguinte atualização, se instalada, torna o computador incompatível com os próximos hotfixes: 23 de outubro de 2025 – KB5070881 (OS Build 26100.6905) fora de banda, assim como qualquer outra atualização não explicitamente listada nesta seção.
Problema de licenciamento de funcionalidades nas atualizações de outubro de 2025
Um problema foi identificado com as atualizações de segurança de outubro de 2025 para o Windows Server 2025. Isso pode afetar os clientes que executam a atualização de 14 de outubro de 2025 – KB5066835 (OS Build 26100.6899) ou posterior. Devido a esse problema, o comportamento inesperado a seguir pode ser observado.
- Habilitar o hotpatching do Windows Server por meio do Azure Arc em novos computadores pode falhar ou não ser concluído conforme o esperado. Em vez disso, a habilitação de recursos permanece no estado "Em andamento" até que o problema seja resolvido.
- Em computadores habilitados anteriormente para o hotpatching do Windows Server, a licença de recurso pode expirar e isso impedirá que o próximo Hotpatch seja instalado. Em vez disso, a próxima atualização causará uma reinicialização se nenhuma ação for tomada.
Hotpatching no Windows Server 2025 Datacenter: Azure Edition não é afetado por esse problema.
Para resolver esse problema, é recomendável uma série de etapas manuais. A falha na aplicação de qualquer solução alternativa resultará em atualizações regulares não frequentes até, e incluindo, o próximo mês de linha de base que está atualmente agendado para janeiro de 2026. Essas atualizações exigem uma reinicialização a cada mês.
Há duas maneiras de aplicar a solução alternativa manual em computadores afetados. Cada uma das opções fornecidas oferece uma solução completa. Você precisará aplicar a solução alternativa em cada um dos computadores afetados antes que a próxima atualização seja oferecida, o que é previsto na próxima data de "terça-feira do patch" de 11 de novembro de 2025. A aplicação da solução alternativa requer uma reinicialização, portanto, planeje adequadamente.
Depois de aplicar qualquer solução alternativa, as atualizações de hotpatch lançadas em novembro e dezembro de 2025 serão instaladas sem a necessidade de uma reinicialização.
Opção 1: usar a política local ou de grupo para habilitar a correção
Baixe e instale o pacote Windows 11 24H2, Windows 11 25H2 e Windows Server 2025 KB5062660 251028_18301 Feature Preview . Isso instala o modelo de Política local ou de grupo (
ADMXarquivo) para essa correção específica.Selecione Iniciar, digite gpedit e, em seguida, edite a política de grupo. Navegue até Configuração do Computador\Modelos Administrativos\KB5062660 251028_18301 Feature Preview\Windows 11, versão 24H2, 25H2\KB5062660 251028_18301 Feature Preview.
Para obter mais informações sobre como implantar e configurar essa Política de Grupo especial, consulte Usar a Política de Grupo para habilitar uma atualização desabilitada por padrão.
No painel da janela direita, abra KB5062660 251028_18301 Feature Preview, selecione Habilitado e selecione OK.
Reinicialize o computador afetado.
Execute o comando a seguir para remover a entrada DeviceLicensingServiceCommandMutex do registro. Se essa entrada não estiver presente no dispositivo afetado, a remoção será ignorada.
try { Remove-ItemProperty -Path 'HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Subscriptions' -Name 'DeviceLicensingServiceCommandMutex' -ErrorAction Stop } catch { Write-Host "DeviceLicensingServiceCommandMutex entry not present, skipping removal." }Como alternativa, use sua ferramenta de edição de registro preferencial ou solução de automação para excluir o mesmo valor. Não exclua toda a chave do Registro.
Opção 2: usar um script para habilitar a correção
Abra uma janela elevada do PowerShell em cada um dos computadores afetados e execute os comandos a seguir. O último comando solicita que você reinicie o dispositivo. A mitigação não é concluída até que o computador seja reinicializado e é recomendável que você reinicie imediatamente após a execução desse script.
Stop-Service -Name 'HIMDS'
New-Item -Path 'HKLM:\SYSTEM\CurrentControlSet\Policies\Microsoft\FeatureManagement\Overrides' -Force
New-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Policies\Microsoft\FeatureManagement\Overrides' -PropertyType 'dword' -Name '4264695439' -Value 1 -Force
try {
Remove-ItemProperty -Path 'HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Subscriptions' -Name 'DeviceLicensingServiceCommandMutex' -ErrorAction Stop
} catch {
Write-Host "DeviceLicensingServiceCommandMutex entry not present, skipping removal."
}
Restart-Computer -Confirm
Próximas etapas
Agora que o Hotpatch está habilitado, aqui estão alguns artigos que podem ajudá-lo a atualizar seu computador.