Microsoft перенесла из Windows Server в десктопную Windows 11 функцию установки критических обновлений безопасности без выполнения обязательной перезагрузки. Благодаря новой возможности ОС пользователи смогут большую часть года обходиться без рестарта ПК, при этом оставаясь защищенными от самых свежих киберугроз. Однако воспользоваться функцией смогут далеко не все.
Windows без «лишних» перезагрузок – реальность
Возможность получения обновлений безопасности без обязательного рестарта ОС стала доступна пользователям Windows 11, пишет Bleeping Computer. Технология «хотпатчинга» (hotpatching), дебютировавшая в Windows Server, серверного варианта операционной системы корпорации Microsoft, протестирована участниками программы предварительной оценки Windows Insider и признана стабильной.
Внедрение данного подхода позволит устанавливать важные исправления, устраняющие опасные уязвимости в Windows 11, практически сразу же после их выхода, не вынуждая пользователя прерывать работу на время установки обязательных апдейтов и последующего перезапуска системы.
Однако совсем без перезагрузок ПК, даже с новой системой хотпатчинга, обойтись не выйдет. Как поясняют в Microsoft, повторный запуск ОС потребуется в начале каждого очередного квартала – именно с такой периодичностью система будет получать обязательные накопительные обновления функциональности. Таким образом, обновления безопасности будет применяться без прерывания рабочего процесса «бесшовно» в течение восьми месяцев в году.
Возможность не для всех
Спойлер
Функция hotpatching доступна обладателям лицензий Windows 11 Enterprise E3, E5, F3, Windows 11 Education A3, A5 или подписки Windows 365 Enterprise. Для ее работы необходим ПК на базе x86-совместимого процессора производства AMD или Intel, под управлением корпоративной редакции Windows 11 – Windows 11 Enterprise актуальной версии 24H2 с включенным механизмом дополнительной защиты при помощи технологий виртуализации (Virtualization-based Secutiry; VBS).
Virtualization Based Security или VBS (безопасность на основе виртуализации) – функция безопасности Windows 10 и 11, позволяющая избежать выполнения потенциально вредоносного программного кода благодаря помещению его в изолированную среду. VBS использует средства аппаратной виртуализации, которыми оснащены современные x86-совместимые процессоры Intel и AMD, а также гипервизор Windows (Hyper-V), следует из документации к Windows 11. На компьютерах, «железо» в составе которых удовлетворяет минимальным системным требованиям Windows 11, VBS, как правило, активна по умолчанию.
В профессиональной (Professional) и домашней (Home) редакциях возможность установки исправлений безопасности без перезагрузки недоступна, во всяком случае пока.
Для включения hotpatching необходимо создать соответствующую политику через центр администрирования Microsoft Intune в разделе “Devices”->”Windows updates”.
Хотпатчинг в Windows 11 для платформ на основе архитектур Arm64 доступен в статусе preview, то есть версии, предназначенной для предварительного ознакомления и по умолчанию отключен. Системные администраторы могут активировать функцию на свой страх и риск путем изменения значения ключа “HotPatchRestrictions” в разделе “HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management” реестра Windows с единицы на нуль.
«Фишка» Windows Server
Функция hotpatching впервые заработала в операционной системе Windows Server 2022 Datacenter: Azure Edition, специальной редакции серверной ОС, которая предназначена для развертывания в виртуальных машинах в облаке Microsoft Azure.
Применение патча «горячим» (hot) способом происходит путем замены в оперативной памяти ПК кода работающего процесса без необходимости его перезапуска, не затрагивая уже запущенные приложения. Однако для этого подвергающийся манипуляциям процесс должен находиться в виртуализированной среде. На физическом «железе» подобный подход реализуется при помощи ранее упомянутой технологии VBS.
Virtualization Based Security или VBS (безопасность на основе виртуализации) – функция безопасности Windows 10 и 11, позволяющая избежать выполнения потенциально вредоносного программного кода благодаря помещению его в изолированную среду. VBS использует средства аппаратной виртуализации, которыми оснащены современные x86-совместимые процессоры Intel и AMD, а также гипервизор Windows (Hyper-V), следует из документации к Windows 11. На компьютерах, «железо» в составе которых удовлетворяет минимальным системным требованиям Windows 11, VBS, как правило, активна по умолчанию.
В профессиональной (Professional) и домашней (Home) редакциях возможность установки исправлений безопасности без перезагрузки недоступна, во всяком случае пока.
Для включения hotpatching необходимо создать соответствующую политику через центр администрирования Microsoft Intune в разделе “Devices”->”Windows updates”.
Хотпатчинг в Windows 11 для платформ на основе архитектур Arm64 доступен в статусе preview, то есть версии, предназначенной для предварительного ознакомления и по умолчанию отключен. Системные администраторы могут активировать функцию на свой страх и риск путем изменения значения ключа “HotPatchRestrictions” в разделе “HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management” реестра Windows с единицы на нуль.
«Фишка» Windows Server
Функция hotpatching впервые заработала в операционной системе Windows Server 2022 Datacenter: Azure Edition, специальной редакции серверной ОС, которая предназначена для развертывания в виртуальных машинах в облаке Microsoft Azure.
Применение патча «горячим» (hot) способом происходит путем замены в оперативной памяти ПК кода работающего процесса без необходимости его перезапуска, не затрагивая уже запущенные приложения. Однако для этого подвергающийся манипуляциям процесс должен находиться в виртуализированной среде. На физическом «железе» подобный подход реализуется при помощи ранее упомянутой технологии VBS.
