• Cloud, Microsoft 365, Sicurezza, Sistemi Operativi
• 4 Aprile 2025

A novembre scorso veniva annunciata da Microsoft l’anteprima pubblica degli aggiornamenti “hotpatch” per Windows 11 Enterprise 24H2. Siamo in primavera e, come da programma, la versione pubblica è ora disponibile.

Grazie agli aggiornamenti Hotpatch è possibile implementare, rapidamente, tutte quelle misure utili a proteggere la propria organizzazione da eventuali attacchi informatici, riducendo al minimo le interruzioni per gli utenti.

L’Hotpatching rappresenta un progresso significativo nel mondo della sicurezza e produttività dell’ecosistema Windows.

In questo articolo vedremo i vantaggi, il funzionamento e come si può sfruttare nella gestione di Windows.

Benefici degli aggiornamenti Hotpatch

L’Hotpatching offre numerosi miglioramenti validi a mantenere aggiornati i dispositivi client basati su Windows:

• Protezione immediata. Gli aggiornamenti Hotpatch si attivano subito dopo la loro installazione, garantendo una protezione rapida contro le vulnerabilità.
• Sicurezza costante. I dispositivi ricevono lo stesso livello di patch di sicurezza degli aggiornamenti mensili standard rilasciati il secondo martedì di ogni mese.
• Interruzioni ridotte al minimo. Gli utenti possono continuare a lavorare senza alcuna interruzione mentre vengono installati gli aggiornamenti Hotpatch. Questi aggiornamenti, infatti, non richiedono il riavvio del PC per il resto del trimestre.
  Nota: Le nuove funzionalità del sistema operativo, il firmware e/o gli aggiornamenti delle applicazioni possono comunque richiedere un riavvio nel corso del trimestre.
  

La pagina delle impostazioni di Windows Update mostra un messaggio, evidenziato in verde chiaro, il quale indica che l’ultimo aggiornamento di sicurezza è stato installato senza necessità di riavvio.

Come funziona la tecnologia Hotpatch

La prima operazione da fare è creare una politica di aggiornamenti qualitativi abilitati per Hotpatch in Windows Autopatch tramite la console di Microsoft Intune. Tutti i dispositivi idonei con Windows 11 Enterprise versione 24H2, gestiti da questa politica, riceveranno gli aggiornamenti Hotpatch con un ciclo trimestrale, come mostrato nella figura di seguito.

Gli aggiornamenti Hotpatch seguono lo stesso schema di distribuzione ad anello degli aggiornamenti standard. I dispositivi che ricevono l’aggiornamento Hotpatch visualizzeranno un KB diverso per tracciare la versione Hotpatch e avranno una versione del sistema operativo diversa rispetto ai dispositivi che ricevono l’aggiornamento standard, il quale richiede un riavvio.

Un diagramma che mostra i mesi Baseline e Hotpatch, specificando che in quelli Hotpatch non sono necessari riavvii.

Gli aggiornamenti Hotpatch, come detto precedentemente, operano su un ciclo trimestrale e nel dettaglio:

• Mese baseline cumulativo. A gennaio, aprile, luglio e ottobre, i dispositivi installano l’aggiornamento mensile di sicurezza e riavviano il sistema. Questo aggiornamento include le ultime correzioni di sicurezza, nuove funzionalità cumulative e miglioramenti rispetto all’ultima baseline.
• Due mesi successivi. I dispositivi ricevono gli aggiornamenti Hotpatch, i quali includono solo aggiornamenti di sicurezza e non richiedono un riavvio. Questi dispositivi recupereranno nuove funzionalità e miglioramenti al sistema operativo con la prossima baseline cumulativa (trimestrale).

Questo ciclo riduce il numero di riavvii richiesti per gli aggiornamenti di Windows da dodici a soli quattro all’anno, grazie agli otto aggiornamenti Hotpatch pianificati annualmente.

Come iniziare con Hotpatch

Per abilitare l’Hotpatching sui dispositivi client di Windows, abbiamo bisogno di:

• Un abbonamento Microsoft 365 il quale includa Windows 11 Enterprise E3, E5 o F3, Windows 11 Education A3 o A5 oppure un abbonamento Windows 365 Enterprise.
• Dispositivi con Windows 11 Enterprise, versione 24H2 (Build 26100.2033 o successiva) con l’ultima baseline installata.
• Una CPU x64, inclusi AMD64 e Intel (Nota: i dispositivi Arm®64 sono ancora in anteprima pubblica).
• Microsoft Intune per gestire la distribuzione degli aggiornamenti Hotpatch con una politica di aggiornamenti qualitativi abilitati per Hotpatch.
• Virtualization-based Security (VBS) abilitato.

Per i dispositivi Arm64, gli aggiornamenti Hotpatch sono ancora in anteprima pubblica e richiedono un requisito aggiuntivo. In particolare, bisognerà impostare la seguente chiave di registro per disattivare il supporto CHPE:

• Percorso: HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management
• Chiave DWORD: HotPatchRestrictions=1

Verrà fornito un nuovo DisableCHPE CSP come alternativa alla configurazione manuale della chiave di registro sopra indicata. Dopo aver modificato questa impostazione, il dispositivo va riavviato per garantire che il sistema operativo la applichi correttamente. Questa configurazione va impostata una sola volta. Il nuovo CSP sarà disponibile poco dopo l’aggiornamento di sicurezza di aprile 2025. I dispositivi devono disabilitare CHPE per essere idonei agli aggiornamenti Hotpatch.

Se i prerequisiti per gli aggiornamenti Hotpatch sono soddisfatti, è possibile attivare o disattivare la distribuzione automatica degli aggiornamenti Hotpatch tramite Windows Autopatch.
Dall’admin center di Microsoft Intune, andare su Devices > Windows updates > Create Windows quality update policy e attivare il selettore When available, apply without restarting the device (“hotpatch”).

Abilitazione degli aggiornamenti Hotpatch tramite la creazione di una politica di aggiornamenti qualitativi di Windows nell’admin center di Intune.

E se abbiamo dispositivi con Windows 10 o una versione precedente di Windows 11? C’è una buona notizia! La politica degli aggiornamenti qualitativi di Windows può rilevare automaticamente se i dispositivi target sono idonei agli aggiornamenti Hotpatch.

I dispositivi con Windows 10 e Windows 11 versione 23H2, e precedenti, continueranno a ricevere gli aggiornamenti mensili standard di sicurezza, garantendo che l’ecosistema rimanga protetto e funzionale.

“Hotpatching has been a game-changer for keeping our devices secure without disrupting work. Initially, we didn’t realize how significant it was to have security updates take effect immediately—without waiting for a reboot. But now, we see the real advantage: security is applied instantly, reducing risk and improving efficiency.”

— Michael Meier, Senior System Administrator, Krones AG

Gli aggiornamenti Hotpatch sono un’ottima novità per Windows 11 Enterprise (versioni supportate) utile a garantire la sicurezza dei dispositivi e a mantenere alta la produttività degli utenti con interruzioni ridotte al minimo.
Come sempre, invitiamo tutte le organizzazioni a testare (e sfruttare) questa nuova funzionalità.

Ricordiamo che gli aggiornamenti Hotpatch sono disponibili sui dispositivi con CPU Intel e AMD a partire dal 2 aprile 2025, mentre saranno disponibili per i dispositivi Arm64 in un secondo momento.
Noi continueremo a informarvi man mano che ci saranno notizie e novità ufficiali.

Link Utili

• Hotpatch for Windows client now available
• Hotpatch updates
• Hotpatch for client comes to Windows 11 Enterprise
• Skilling snack: Hotpatch on Windows client and server
• The hottest way to update Windows 11 and Windows Server 2025
• Hotpatch release notes