Nieuws
image

Microsoft test beveiligingsupdates zonder herstart in Windows Server 2025

maandag 23 september 2024, 13:33 door Redactie, 7 reacties

Microsoft heeft een testversie van Windows Server 2025 beschikbaar gemaakt die het installeren van beveiligingsupdates zonder herstart van het systeem mogelijk maakt. Deze 'hotpatches' zijn volgens Microsoft een 'gamechanger'. Hotpatches zijn beveiligingsupdates die geen reboot vereisen. De updates patchen in het geheugen code van draaiende processen, zonder dat het nodig is om deze processen te herstarten.

Dit moet ervoor zorgen dat in plaats van twaalf verplichte reboots per jaar op 'Patch Tuesday', er wordt gewerkt met een geplande herstart per kwartaal. Dit bestempelt Microsoft als 'nominale hotpatch maand'. Minder binaries houdt ook in dat updates sneller worden gedownload en geïnstalleerd, aldus het techbedrijf. Hotpatching is al een aantal jaren beschikbaar in Windows Server 2022 Datacenter: Azure Edition, maar vereist dat het besturingssysteem in een virtual machine (VM) draait.

De feature komt ook beschikbaar in de Standard en Datacenter edition van Windows Server 2025. en zonder VM-verplichting. Hotpatching wordt ondersteund op fysieke servers of virtual machines. De VM's kunnen op Hyper-V, VMware of andere oplossingen draaien die Microsofts Virtualization Based Security-standaard ondersteunen. Voor het gebruik van hotpatching is wel Azure Arc vereist.

Reacties (7)
Reageer met quote
23-09-2024, 13:58 door Anoniem
In mijn VM's staat dit standaard uit zo te zien.

https://www.xda-developers.com/how-to-check-if-virtualization-based-security-vbs-is-enabled-in-windows-11/
https://www.thewindowsclub.com/virtualization-based-security-not-enabled-windows-11
Reageer met quote
23-09-2024, 16:18 door Anoniem
Ervaring leert mij dat je beter altijd een herstart kan doen omdat onderliggende problemen vaak dan pas geconstateerd worden. Wij werken al jaren met Kernelcare wat reboot free kernel patching inhoud in Linux en theoretisch goed moet werken zonder reboots maar praktijk leert mij dat wil je kernel panics voortijdig herkennen dan is die restart toch echt nodig is je kan niet blind vertrouwen op de berichtgeving.

En laten we wel wezen servers herstarten vaak in minder dan twee minuten soms zelfs onder 30 seconden tegenwoordig dus waar hebben we het werkelijk over qua maintenance windows. 12 herstarts per jaar laat me niet lachen we herstarten elke middernacht. Geheugen meteen leeg van bevroren queries logs netjes opgedeeld en weer gaan met een systeem back-up erna. En als de unit niet in de verwachte tijd online komt sms, push alert naar engineers voor onderzoek van dat clusterof een rollback naar systeem backup van dag ervoor.
Reageer met quote
23-09-2024, 19:14 door Anoniem
Door Anoniem: Ervaring leert mij dat je beter altijd een herstart kan doen omdat onderliggende problemen vaak dan pas geconstateerd worden. Wij werken al jaren met Kernelcare wat reboot free kernel patching inhoud in Linux en theoretisch goed moet werken zonder reboots maar praktijk leert mij dat wil je kernel panics voortijdig herkennen dan is die restart toch echt nodig is je kan niet blind vertrouwen op de berichtgeving.

En laten we wel wezen servers herstarten vaak in minder dan twee minuten soms zelfs onder 30 seconden tegenwoordig dus waar hebben we het werkelijk over qua maintenance windows. 12 herstarts per jaar laat me niet lachen we herstarten elke middernacht. Geheugen meteen leeg van bevroren queries logs netjes opgedeeld en weer gaan met een systeem back-up erna. En als de unit niet in de verwachte tijd online komt sms, push alert naar engineers voor onderzoek van dat clusterof een rollback naar systeem backup van dag ervoor.
Een herstart is een instabiele situatie. Heel dom omdat ieder dag te doen. Niet alle programma's sluiten ook netjes af (windows heeft geen linux systemd, maar ik heb begrepen dat de overgelopen Poetering hier aan werkt)
Reageer met quote
24-09-2024, 13:23 door Anoniem
Ja game changer alleen voor microsoft. Bij linux is het meestal alleen de applicatie restarten
Reageer met quote
24-09-2024, 14:45 door Anoniem
Afgezien van de maandelijkse kosten voor Azure Arc zijn er ook volgende eisen aan de on-premise servers:

- Your machines must have connectivity from your on-premises network or other cloud environment to resources in Azure, either directly or through a proxy server.
- To install and configure the Azure Connected Machine agent, you must have an account with elevated privileges (that is, an administrator or as root)on the machines.

Dus je moet een agent met administratieve rechten draaien die connectie maakt naar het internet voor de command en control center Azure Arc.

Ik denk dat ik liever de vm’s reboot.
Reageer met quote
24-09-2024, 14:49 door Anoniem
Door Anoniem: Ja game changer alleen voor microsoft. Bij linux is het meestal alleen de applicatie restarten

Windows is natuurlijk geen applicatie zoals sqlserver/iis etc. Dus begrijp Uw vergelijking met het herstarten van een applicatie naar het patchen van enig besturingssysteem niet.
Reageer met quote
24-09-2024, 20:51 door Anoniem
Door Anoniem:
Door Anoniem: Ja game changer alleen voor microsoft. Bij linux is het meestal alleen de applicatie restarten

Windows is natuurlijk geen applicatie zoals sqlserver/iis etc. Dus begrijp Uw vergelijking met het herstarten van een applicatie naar het patchen van enig besturingssysteem niet.
Blijkbaar ontbreekt er wat kennis. Bij windows was het altijd verplicht om te rebooten na een hotpatch (en patch dinsdag), zelfs meerdere keren. Linux niet. Zelfs bij een nieuwe kernel niet. De gamechange is een beetje een rare term want er is maar 1 versie windows en de concurrentie heeft het al meer dan 30j.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Zoeken
search
Certified Secure