皆さん、こんにちは。
今回は、Microsoft Ignite 2024 で発表された、Hotpatch on Windows client (Windows クライアント向けホットパッチ) を紹介します。
まず、Hotpatch (ホットパッチ) についておさらいしておきましょう。
Microsoft Ignite 2024 の What’s New in Windows Security, Productivity and Cloud セッションでも下記のように Windows Hotpatch がアナウンスされました。
Hotpatch on Windows client (Windows Hotpatch) とは、Windows クライアント (Windows 11) にて毎月のセキュリティ更新プログラム (Patch Tuesday) 適用時に OS 再起動無しで、セキュリティ更新プログラムを適用できるテクノロジーです。ただし、後述しますが、ずーっと OS 再起動が不要な訳では無く、ある特定の月には再起動が必要になります。
あくまで、OS の再起動の必要性を最低限に抑えるためであり、
再起動が永続的に不要になる訳では無い点にご留意ください。
<Hotpatch on Windows client の詳細>
もう少し、Hotpatch on Windows client を掘り下げましょう。
まず、Hotpatch on Windows client (Windows Hotpatch) は、2025/02/16 現在パブリック プレビューの状態です。
Hotpatch on Windows client (Windows Hotpatch) を用いると、セキュリティ更新プログラム適用時の OS 再起動を抑えることができるとお伝えしました。
ただし、前述した、ある特定の月に再起動が必要というのは、下記の表にあるように、ベースライン更新プログラムが提供される月になります。この月のセキュリティ更新プログラムは、Hotpatch 環境下でも OS 再起動が必須になります。
具体的には、1 月のセキュリティ更新プログラム適用時には、OS 再起動が必須になるが、その後の 2 月および 3 月のセキュリティ更新プログラム適用時には、OS 再起動が不要になるという形となります。ただし、翌月の 4 月のセキュリティ更新プログラムを適用する際には、再度、OS 再起動が必要になります。
<Hotpatch on Windows client の要件 (対象デバイス)>
まず、ライセンス面等について。2025/02/16 現在は、下記のライセンスを保有していることが条件となるようです。
・ Windows Enterprise E3 または E5 (Microsoft 365 A3/A5 または Microsoft 365 F3 に含まれる) サブスクリプション
もしくは、Windows 365 Enterprise サブスクリプション
・ Hotpatch を適用するデバイスは、Windows 11 Enterprise, version 24H2 (Build 26100.2033 またはそれ以降)
・ Microsoft Intune ライセンス
加えて、対象デバイスでは、VBS (Virtualization-based security) が有効である必要があります。
<Hotpatch on Windows client (Windows Hotpatch) を試してみよう>
※ Hotpatch on Windows client (Windows Hotpatch) は、2025/02/15 現在パブリック プレビューの状態です。
それでは、Microsoft Intune を用いて、Hotpatch on Windows client (Windows Hotpatch) を設定して動きを見ていきましょう。
- Microsoft Intune 管理センターを開きます。
- [デバイス] > [更新プログラムの管理] > [Windows の更新プログラム] を開きます。
- [Windows の更新プログラム] 画面にて、[品質更新プログラム] タブを選択し、[作成] > [Windows 品質更新プログラム ポリシー (プレビュー)] を選択します。
- [基本情報] にて、[名前] を適宜設定し、[次へ] を選択します。
- [設定] にて、[可能な場合は、デバイスを再起動せずに適用します (“ホットパッチ”)] のトグルを [ブロック] から [許可] に変更し、[次へ] を選択します。
- [スコープ タグ] は今回は既定のまま、[次へ] を選択します。
- [割り当て] にて、事前に作成しておいたセキュリティ グループを選択し、[次へ] を選択します。このセキュリティ グループには、デバイスを追加します。
(今回はセキュリティ グループだけ先に作成して、後でセキュリティ グループにメンバーを追加するため、0 個のデバイスと表示されています。)
- 最後に、[確認および作成] にて、設定内容が正しいことを確認し、[作成] を選択します。
- あとは、割り当てたセキュリティ グループにデバイスを追加するだけで、Microsoft Intune 側の設定は完了です。
Hotpatch on Windows client (Windows Hotpatch) 適用デバイスの準備
それでは、Hotpatch on Windows client (Windows Hotpatch) の動きを見るため、対象デバイスを用意しましょう。今回は、Hyper-V 仮想マシンを用います。2025/02/16 現在は、2025 年 2 月のセキュリティ更新プログラムがリリースされていますので、その 2025 年 2 月のセキュリティ更新プログラムの適用が再起動不要のことを確認します。このケースだと、1 月度のセキュリティ更新プログラムはベースライン更新プログラムなので、1 月度のセキュリティ更新プログラムが適用された状態の仮想マシンを作成しておきます。
私は、RTM バージョンの ISO ファイルを用いて OS 展開して、KB5050009 と KB5049622 を MSU ファイルで事前に適用して検証環境を構築しました。
Windows Hotpatch の動きは下記の動画をご覧ください。
2025 年 2 月度のセキュリティ更新プログラムを適用しても、再起動を求められなかったことを動画でご確認いただけると思います。
ちなみに、Windows Hotpatch が構成されているかは、対象クライアントの [Windows Update] > [詳細オプション] > [構成された更新ポリシー] で確認できます。
また、レジストリ値だと、下記のパスで確認できます。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PolicyManager\current\device\Update
Hotpatch on Windows client (Windows Hotpatch) 用のセキュリティ更新プログラムは、通常の Windows 11 version 24H2 のものとは異なる KB 番号でリリースされていました。
通常の Windows 11 version 24H2 向け 2025 年 2 月度セキュリティ更新プログラム
KB5051987
Windows Hotpatch 向け 2025 年 2 月度セキュリティ更新プログラム
KB5052105
<まとめ>
今回は、Hotpatch on Windows client (Windows Hotpatch) について取り上げました。まだ、パブリック プレビュー中の状態ですが、皆さんも是非検証して Windows Hotpatch がどのように動くのかを検証されてみてはいかがでしょうか。
Windows Hotpatch を組織内で適用して運用していく場合、通常のセキュリティ更新プログラム (LCU (Latest Cumulative Update)) と異なる KB であるため、通常の LCU との差異等が気になるところですね。それにより、組織で運用している中で固有の問題が発生しないと良いのですが、この点は今後の検討材料ですかね。