Spcnet.it

2026-05-23 16:42:25

Hotpatching gratuito per Windows Server 2025 con Azure Arc: guida all’abilitazione

Cos’è l’Hotpatching e perché cambia tutto

Ogni amministratore di sistema conosce bene il problema: arriva il patch Tuesday, si pianifica una finestra di manutenzione, si notificano gli utenti, si aspetta il riavvio e si incrocia le dita sperando che tutto torni su senza intoppi. Con Windows Server 2025 e l’hotpatching abilitato da Azure Arc, questo ciclo faticoso si riduce drasticamente. E da maggio 2026, questa funzionalità è completamente gratuita per tutti i server Arc-enabled.

L’hotpatching consente di applicare aggiornamenti di sicurezza al sistema operativo senza riavviare il server nella maggior parte dei mesi. Microsoft ha annunciato che dal 15 maggio 2026 tutta la fatturazione per l’hotpatch è stata interrotta per i server Windows Server 2025 Standard e Datacenter connessi ad Azure Arc. Non sono più previsti costi per core, tariffe orarie o voci separate in fattura.

Come funziona il ciclo di aggiornamento

L’hotpatching non elimina completamente i riavvii, ma li riduce sensibilmente. Il ciclo funziona su base trimestrale:

• Mese baseline (1 riavvio ogni 3 mesi): viene installato un aggiornamento cumulativo completo che richiede un riavvio. Questo aggiornamento “alza l’asticella” del sistema per i mesi successivi.
• Mesi hotpatch (i 2 mesi successivi): vengono distribuiti solo gli aggiornamenti di sicurezza incrementali, applicati in-memory senza riavvio.

In un anno solare si ottengono fino a 8 aggiornamenti mensili senza riavvio e soli 4 riavvii baseline pianificabili. Per ambienti di produzione ad alta disponibilità, è una differenza sostanziale.

Prerequisiti tecnici

Prima di abilitare l’hotpatching, verificare che il server soddisfi i requisiti seguenti:

• Windows Server 2025 Standard o Datacenter (build 26100.1742 o successiva). Le build di anteprima non sono supportate.
• Il server deve essere connesso ad Azure Arc tramite il Connected Machine Agent.
• La macchina deve supportare la Virtualization-Based Security (VBS): firmware UEFI con Secure Boot abilitato. Per le VM Hyper-V, è richiesta una macchina virtuale di Generazione 2.
• Una subscription Azure attiva (esiste un tier gratuito per iniziare).

Nota: Windows Server 2025 Datacenter: Azure Edition ha l’hotpatching abilitato per impostazione predefinita e non richiede Azure Arc.

Verifica e abilitazione di Virtual Secure Mode (VBS)

Quando si abilita l’hotpatch dal portale Azure, il sistema verifica automaticamente se la Virtual Secure Mode (VSM) è attiva. Se non lo è, l’operazione fallisce con un errore. È conveniente verificare prima manualmente.

Verifica dello stato VSM con PowerShell

Get-CimInstance -Namespace 'root/Microsoft/Windows/DeviceGuard' `
    -ClassName 'win32_deviceGuard' | `
    Select-Object -ExpandProperty 'VirtualizationBasedSecurityStatus'

Se il valore restituito è 2, VSM è attivo e si può procedere. Se è 0 o 1, occorre abilitarlo.

Abilitazione di VSM tramite registro di sistema

New-ItemProperty -Path 'HKLM:\System\CurrentControlSet\Control\DeviceGuard' `
    -Name 'EnableVirtualizationBasedSecurity' `
    -PropertyType 'Dword' `
    -Value 1 -Force

Dopo aver impostato il valore, riavviare il server e verificare nuovamente che VirtualizationBasedSecurityStatus restituisca 2.

In alternativa, VSM viene abilitato automaticamente configurando funzionalità come Credential Guard, Hypervisor-Protected Code Integrity (HVCI) o Secured-core server. Se il proprio ambiente utilizza già una di queste feature, VSM è probabilmente già attivo.

Connessione ad Azure Arc

Se il server non è ancora connesso ad Azure Arc, il modo più rapido per un singolo server è scaricare ed eseguire lo script di onboarding dal portale Azure:

1. Aprire il portale Azure e cercare Azure Arc → Machines.
2. Cliccare su Add/Create → Add a machine.
3. Selezionare Add a single server e seguire la procedura guidata.
4. Scaricare ed eseguire lo script PowerShell generato sul server target.

Per un deployment su scala (decine o centinaia di server), Azure Arc supporta l’installazione tramite Group Policy, service principal, Terraform o Configuration Manager. Il Connected Machine Agent è leggero e ha un impatto minimo sulle risorse del sistema.

Abilitazione dell’Hotpatch dal portale Azure

Una volta che il server è connesso ad Azure Arc e VSM è attivo, abilitare l’hotpatch richiede pochi click:

1. Nel portale Azure, navigare su Azure Arc → Machines.
2. Selezionare il nome del server target.
3. Nel pannello laterale, fare clic su Hotpatch.
4. Cliccare su Confirm.
5. Attendere circa 10 minuti per la propagazione delle modifiche.

Se lo stato rimane bloccato su Pending, verificare la connettività verso gli endpoint Azure Arc e controllare i log dell’agente in C:\ProgramData\AzureConnectedMachineAgent\Logs.

Automazione con Azure Update Manager

Per gestire l’hotpatching su scala, Azure Update Manager (AUM) è lo strumento consigliato. Permette di:

• Definire maintenance windows per controllare quando vengono applicati gli aggiornamenti baseline (quelli che richiedono il riavvio).
• Configurare update policies per applicare automaticamente gli hotpatch nei mesi non-baseline.
• Monitorare lo stato di conformità di tutti i server Arc da un’unica dashboard.
• Integrare con Azure Monitor per alert e reportistica.

Con AUM è possibile impostare una finestra di manutenzione mensile di 30 minuti per i riavvii baseline, sapendo che nei due mesi successivi nessun riavvio sarà necessario per gli aggiornamenti di sicurezza. Una politica ragionevole è schedulare i riavvii baseline nella notte del secondo mercoledì del mese baseline, allineandosi al ciclo Patch Tuesday di Microsoft.

Script PowerShell per il troubleshooting dell’agente Arc

Se dopo l’abilitazione l’hotpatch non si attiva correttamente, questo script PowerShell aiuta a diagnosticare i problemi più comuni:

# Verifica stato agente Azure Arc
$svc = Get-Service -Name "himds" -ErrorAction SilentlyContinue
if ($svc) {
    Write-Host "Azure Connected Machine Agent: $($svc.Status)"
} else {
    Write-Host "ERRORE: servizio HIMDS non trovato. Arc non e' installato."
}

# Verifica VBS
$vbs = Get-CimInstance -Namespace 'root/Microsoft/Windows/DeviceGuard' `
    -ClassName 'win32_deviceGuard' | `
    Select-Object -ExpandProperty 'VirtualizationBasedSecurityStatus'
Write-Host "VBS Status: $vbs (2 = attivo, 0/1 = non attivo)"

# Verifica Secure Boot
$sb = Confirm-SecureBootUEFI -ErrorAction SilentlyContinue
Write-Host "Secure Boot abilitato: $sb"

# Log agente Arc (ultimi 50 errori)
$logPath = "C:\ProgramData\AzureConnectedMachineAgent\Logs"
if (Test-Path $logPath) {
    Get-ChildItem $logPath -Filter "*.log" | 
        Sort-Object LastWriteTime -Descending | 
        Select-Object -First 1 | 
        Get-Content | Select-String "ERROR","WARN" | 
        Select-Object -Last 50
}

Considerazioni finali

Il passaggio dell’hotpatching a servizio gratuito rappresenta un cambiamento significativo nella gestione delle patch per Windows Server. Prima era necessario scegliere tra la semplicità operativa (nessun riavvio) e il costo aggiuntivo ($1.50 USD per core al mese, introdotto a luglio 2025). Ora quella scelta non esiste più.

Per chi gestisce ambienti Windows Server 2025 ibridi o on-premises, il percorso consigliato è: verificare i prerequisiti hardware (UEFI + Secure Boot), connettere i server ad Azure Arc, abilitare l’hotpatch dal portale e configurare Azure Update Manager per le finestre di manutenzione baseline. Il risultato pratico: meno riavvii, meno downtime, meno stress per il team IT — senza costi aggiuntivi.

---

Fonte originale: 4sysops — Free Windows Server 2025 hotpatching with Azure Arc. Documentazione ufficiale: Microsoft Learn — Enable Hotpatch for Azure Arc-enabled servers. Annuncio Microsoft: Microsoft Tech Community.

Simplified access to Hotpatching enabled by Azure Arc for Windows Server 2025 | Microsoft Community Hub

With Windows Server 2025, we introduced hotpatch enabled by Azure Arc, delivering security updates to Windows Server across hybrid and multicloud...

^{sharmajyoti (TECHCOMMUNITY.MICROSOFT.COM)}