Hotpatching für Windows 11 Windows-Updates ohne Neustart installieren

Windows 11 24H2 erlaubt die direkte Aktualisierung des Betriebssystems ohne Neustart. Die Funktionsweise entspricht in etwa der von Hotpatching in Windows Server 2025. In diesem Beitrag zeigen wir, wie die Technik funktioniert und mit Microsoft Intune konfiguriert wird.

Mit Hotpatching lassen sich Windows Server 2025 und Windows 11 24H2 aktualisieren, ohne das Betriebssystem neu starten zu müssen. Allerdings funktioniert das bei weitem nicht für alle Updates, sondern vor allem für ausgewählte Patches aus dem monatlichen Patchday. Die neue Technik verhindert daher nicht alle Neustarts, die bei Aktualisierungen notwendig sind, reduziert die Anzahl aber deutlich. Wir haben uns mit der Ankündigung für Windows 11 bereits in einem Beitrag auseinandergesetzt.

So funktioniert Hotpatching in Windows 11 und Windows Server 2025

Wie Hotpatching in Windows 11 und Windows Server 2025 generell funktioniert, haben wir bereits umfassend behandelt. Auch die Vorteile des Hotpatching haben wir an anderer Stelle schon ausführlicher beschrieben.

Bildergalerie

Bildergalerie mit 5 Bildern

In Zukunft erscheinen herkömmliche Updates, die einen Neustart erfordern und Hotpatch-Updates, die Windows 11 und Windows Server 2025, bei entsprechender Lizenzierung, ohne Neustart installieren können. Die herkömmlichen Updates erfordern immer einen Neustart, auch bei Hotpatch-aktivierten Computern. Diese Updates erscheinen nach aktueller Planung immer zum ersten Monat eines Quartals, also Januar, April, Juni und Oktober. Diese Vorgehensweise kann sich natürlich jederzeit ändern. In diesen Baseline-Updates sind sowohl Sicherheits-Updates als auch Aktualisieren der Funktionen von Windows 11 enthalten. Die Updates bleiben dabei kumulativ, wie bisher auch (so ist zumindest die aktuelle Planung). Der aktuelle Hotpatch-Kalender ist direkt bei Microsoft abrufbar.

Hotpatch-Updates enthalten nur Sicherheits-Updates und sollen nach derzeitiger Planung an allen anderen Monaten im Jahr zum Patchday veröffentlicht werden. Diese Updates benötigen generell keinen Neustart. Nach aktueller Planung ist es daher nicht mehr notwendig einen PC (mindestens) 12x im Jahr neu zu starten, sondern nur noch 4x, im Rahmen der Installation der Baseline-Updates.

Hotpatching in Windows 11 mit Microsoft Intune steuern

In Windows 11 lässt sich Hotpatching zum Beispiel über Microsoft Intune zentral steuern. Um Hotpatching nutzen zu können ist Windows 11 Enterprise/Education 24H2 in der aktuellen Update-Version notwendig. Wie bei Windows Server 2025, muss auch in Windows 11 die Virtual Based Security (VBS) aktiviert sein, um Hotpatching zu nutzen. Es ist durchaus zu erwarten, dass auch andere Editionen in den Genuss von Hotpatching kommen, aktuell ist das aber nicht der Fall.

Virtual Based Security in Microsoft Intune aktivieren

Zunächst sollte für die Aktivierung von Hotpatching in Windows 11 auf den angebundenen Computern VBS aktiviert werden. Das lässt sich zum Beispiel mit einem Konfigurationsprofil über Microsoft Intune erledigen. Die Konfiguration dazu findet im Intune Admin Center über "Geräte -> Windows -> Konfiguration" statt. Mit "Erstellen -> Neue Richtlinie" lässt sich ein neues Konfigurationsprofil erstellen.

Bei "Konfigurationsprofil" erfolgt die Auswahl von "Windows 10 und höher", bei "Profiltyp" wird "Einstellungskatalog" ausgewählt. Danach erfolgt die Konfiguration der Richtlinie. Nach dem Festlegen eines Namens, zum Beispiel "VBS-Hotpatching" erfolgt bei "Konfigurationseinstellungen" mit "Einstellungen hinzufügen", die Auswahl von "Virtualisierungsbasierte Technologie". Die Einstellung lässt sich am schnellsten über die Suche nach "hypervisor" finden. Nach der Auswahl erfolgt unten im Fenster die Aktivierung der Funktion "Von Hypervisor erzwungene Codeintegrität". Wenn die Einstellung hinzugefügt wurde, muss noch die Option "Ohne Sperre aktiviert" ausgewählt werden. Nur dann lassen sich diese Einstellungen auch über Richtlinien wieder deaktivieren. Soll das Deaktivieren per Richtlinie nicht mehr möglich sein, wählt man "Aktiviert mit UEFI-Sperre" aus.

Das Konfigurationsprofil wird im Anschluss zu den Gruppen und Computern zugeordnet, bei denen VBS aktiviert werden soll. Damit VBS auf einem Windows-Rechner aktiv ist, muss Windows neu gestartet werden.

Hotpatching in Microsoft Intune steuern

Auch Hotpatching lässt sich in Microsoft Intune steuern. Dazu steht bei "Geräte -> Windows" bei "Updates verwalten" der Menüpunkt "Windows-Updates" zur Verfügung. Bei "Qualitätsupdates" wird dazu mit "Erstellen -> Windows-Qualitätsupdaterichtlinie" eine neue Richtlinie erstellt. Das geht aber nur in Abonnements mit den folgenden Lizenzen:

• Windows 10/11 Enterprise E3 oder E5 (enthalten in Microsoft 365 F3, E3 oder E5)

• Windows 10/11 Education A3 oder A5 (enthalten in Microsoft 365 A3 oder A5)

• Windows Virtual Desktop Access E3 oder E5

• Microsoft 365 Business Premium

In der Richtlinie lassen sich direkt die Hotpatches für Computer aktivieren, denen die Richtlinie zugewiesen ist. Bei ARM-basierten Computern sind weitere Einstellungen notwendig, die allerdings das System eher instabil machen. Microsoft arbeitet derzeit auch an Einstellungen in Intune und an besserer Kompatibilität mit ARM-Prozessoren.

(ID:50447136)