Les utilisateurs de Windows 11 Enterprise peuvent désormais installer des mises à jour sans nécessiter de redémarrage du système.
Après des expérimentations antérieures et des annonces, notamment pour Windows Server, Microsoft déploie maintenant des mises à jour ‘hotpatch’ pour Windows 11 en pratique. Les hotpatches sont des mises à jour que l’on peut installer sans redémarrer l’ordinateur. Cela minimise l’impact de correctifs parfois importants, ce qui augmente la probabilité qu’ils soient installés rapidement.
Les mises à jour hotpatch arrivent d’abord sur Windows 11 Enterprise. Le système est actuellement uniquement compatible avec Windows 11 Enterprise 24H2 pour x64 (pour x86 – Intel ou AMD).
Règles de gestion
Pour commencer à utiliser les hotpatches, l’administrateur informatique doit d’abord donner son autorisation via une politique dans Windows Autopatch dans la console Intune. Pour ce faire, naviguez vers Devices > Windows updates > Create Windows quality update policy et définissez la valeur pour la capacité hotpatch sur Allow.
Tous les systèmes compatibles couverts par la politique entreront dans un cycle de hotpatch. Microsoft déploiera les hotpatches selon un schéma similaire aux mises à jour ordinaires, mais avec des numéros KB différents. La règle de gestion détecte automatiquement si les systèmes sont compatibles. Vous pouvez donc activer uniformément les hotpatches, même lorsque des appareils non compatibles sont couverts par la politique.
Cadence
Le plan actuel est de lancer chaque trimestre une mise à jour avec des fonctionnalités et d’autres modifications qui nécessitent un redémarrage. Celle-ci arrive alors de la même manière sur tous les systèmes. Durant les deux mois entre chaque trimestre, Microsoft fournit les mises à jour hotpatch. Cela signifie qu’en théorie, les systèmes Windows 11 Enterprise ne doivent redémarrer obligatoirement que quatre fois par an pour une mise à jour, au lieu de douze fois.
Microsoft indique qu’il y a des conditions supplémentaires pour utiliser le système :
Un abonnement Microsoft Windows 11 Enterprise E3, E5, ou F3, Windows 11 Education A3 ou A5, ou un abonnement Windows 365 Enterprise ;
- Windows 11 Enterprise version 24H2 (Build 26100.2033 ou ultérieure)
- Un processeur x64 d’Intel ou AMD ;
- Microsoft Intune pour gérer le déploiement des mises à jour hotpatch ;
- Virtualization-based Security (VBS) doit être activée.
Microsoft travaille encore sur les mises à jour hotpatch pour les systèmes ARM. Elles arrivent, mais sont encore en préversion publique.
De nombreux avantages, pas pour tout le monde
Microsoft souligne à juste titre les grands avantages en termes de sécurité qu’apportent les mises à jour hotpatch. En ne demandant pas aux utilisateurs de redémarrer, des mises à jour de sécurité importantes peuvent être intégrées automatiquement en arrière-plan. Les attaques zero day des pirates ciblent généralement les systèmes vulnérables qui n’ont pas encore été corrigés, mais pour lesquels un correctif était en fait déjà disponible. Cette approche rend ce scénario moins probable.
L’accent mis sur Windows 11 Enterprise et l’abonnement associé est intéressant. Comme les hotpatches améliorent la sécurité, on pourrait supposer que Microsoft voudrait opter pour un déploiement large avec le moins de conditions possibles. On ne sait pas si les systèmes Windows 11 Pro et Home suivront rapidement avec cette capacité, et quelles conditions y seraient éventuellement attachées.