Microsoft despliega los parches en caliente para Windows 11 Enterprise

Microsoft ha anunciado la disponibilidad general de las actualizaciones de parches en caliente para clientes empresariales que usan Windows 11 Enterprise 24H2 en sistemas x64. «Con estas actualizaciones, puede tomar medidas rápidamente para proteger su organización de ciberataques y minimizar las interrupciones para los usuarios», explican en el blog de profesionales IT de Windows.

La aplicación de parches en caliente permite la aplicación de actualizaciones de seguridad del sistema operativo en segundo plano, eliminando la necesidad de reiniciar. Esto se logra parcheando el código en memoria de los procesos en ejecución, eliminando así el tiempo de inactividad asociado con las actualizaciones tradicionales. La implementación de estas actualizaciones se controla mediante políticas de parches automáticos de Windows creadas en la consola de Microsoft Intune. Los dispositivos administrados por estas políticas habilitadas para parches en caliente recibirán actualizaciones trimestrales.

Estas técnicas de Hotpatching ofrecen numerosas mejoras a la hora de mantener actualizados los dispositivos cliente de Windows, como señala Microsoft:

• Protección inmediata: las actualizaciones de parches en caliente entran en vigor inmediatamente después de la instalación, lo que proporciona una protección rápida contra vulnerabilidades.
• Seguridad consistente: los dispositivos reciben el mismo nivel de parches de seguridad que las actualizaciones de seguridad estándar mensuales publicadas el segundo martes de cada mes.
• Interrupciones mínimas: Los usuarios pueden continuar trabajando sin interrupciones mientras se instalan las actualizaciones de parches. Las actualizaciones de parches no requieren que el PC se reinicie durante el resto del trimestre.

Para habilitar la aplicación de parches en caliente para dispositivos cliente de Windows es necesario:

• Una suscripción de Microsoft que incluya Windows 11 Enterprise E3, E5 o F3, Windows 11 Education A3 o A5, o una suscripción a Windows 365 Enterprise.
• Dispositivos que ejecutan Windows 11 Enterprise, versión 24H2 (compilación 26100.2033 o posterior) y con la actualización de línea de base actual instalada
• Una CPU x64 que incluye AMD64 e Intel.
• Microsoft Intune para administrar la implementación de actualizaciones de parches en caliente con una política de actualización de calidad de Windows habilitada.
• Seguridad basada en virtualización (VBS) habilitada

Microsoft indica que las actualizaciones de parches para dispositivos Arm64 se encuentran actualmente en versión preliminar pública. Sin embargo, los administradores pueden deshabilitar temporalmente la compatibilidad con CHPE en el registro (ruta HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management y DWORD Key value: HotPatchRestrictions=1) para acceder a la funcionalidad antes del lanzamiento oficial.

Para los demás dispositivos compatibles, las actualizaciones de parches se pueden activar o desactivar en el Centro de administración de Microsoft Intune, accediendo a Dispositivos > “Actualizaciones de Windows” > “Crear directiva de actualización de calidad de Windows”.

Hay que decir que esta tecnología de Hotpatching no es completamente nueva en el ecosistema de Microsoft. La función de parcheo en caliente se introdujo inicialmente para las máquinas virtuales principales de Windows Server Azure Edition y posteriormente se generalizó en sistemas con Windows Server 2022 Datacenter: Azure Edition. Desde entonces, Microsoft ha incorporado parches en caliente a varias versiones preliminares de sistemas operativos, pero aún no lo ha extendido al público general. Se espera que los parches en caliente se incorporen en el futuro a las ediciones para el consumidor final, Windows 11 Home y Pro.