Zum Hauptinhalt springen
S-EDV news
← Alle News
Windows Server 06.07.2026 · 4 min Lesezeit

Windows Server 2025: Hotpatching jetzt kostenlos über Azure Arc aktivieren

Microsoft hat Hotpatching für Windows Server 2025 am 19.06.2026 kostenlos freigeschaltet, sofern der Server über Azure Arc mit der Cloud verbunden ist. Was Hotpatching bringt, welche Voraussetzungen gelten und wie die Aktivierung Schritt für Schritt läuft.

Windows Server 2025 mit aktiviertem Hotpatching über Azure Arc in moderner Rechenzentrumsumgebung. Symbolische Darstellung von automatischen Sicherheitsupdates ohne Neustart, zentraler Serververwaltung und Hybrid Cloud Management für IT Administratoren.

Microsoft hat Hotpatching für Windows Server 2025 am 19.06.2026 kostenlos freigeschaltet, sofern der Server über Azure Arc mit der Cloud verbunden ist. Hotpatching spielt monatliche Sicherheitsupdates direkt in den Arbeitsspeicher laufender Prozesse ein, ohne dass der Server neu starten muss. Für KMU mit Wartungsfenster-Stress und SLAs auf annähernde 24/7-Verfügbarkeit ist das der größte Komfortgewinn beim Windows-Server-Patching seit Einführung von Windows Update.

Dieser Artikel betrifft IT-Administratoren, die Windows-Server-2025-Instanzen im Unternehmen betreiben – Standard- oder Datacenter-Edition, physisch oder virtualisiert, on-prem oder in einer Hoster-Umgebung. Wer noch Windows Server 2016, 2019 oder 2022 einsetzt, ist nicht betroffen, Hotpatching ist aktuell nur für Windows Server 2025 verfügbar. Wer keinen Azure-Tenant besitzt, muss für Hotpatching einen Tenant anlegen, fällt also nicht in den typischen „kein Cloud-Zwang"-Use-Case.

Was ist Hotpatching?

Hotpatching ist ein Verfahren, bei dem monatliche Sicherheitsupdates direkt in den Code laufender Prozesse im Speicher eingespielt werden. Der Patch wirkt sofort, ein Neustart entfällt. Das betrifft den Kernel und privilegierte Systembibliotheken. Hotpatching ersetzt nicht alle Updates: quartalsweise fallen weiterhin „Baseline-Updates" an, die einen Neustart erfordern. In der Praxis bedeutet das: 11 von 12 Monaten ohne Reboot, ein Baseline-Reboot pro Quartal.

Vorgeschichte

Hotpatching war zunächst für Windows Server 2022 in Azure-VMs verfügbar. Mit Windows Server 2025 wurde das Verfahren generalisiert und am 16.07.2025 allgemein verfügbar (GA), zunächst kostenpflichtig als monatliches Abonnement. Am 19.06.2026 hat Microsoft das Abo-Modell abgeschafft und Hotpatching für Azure-Arc-fähige Server kostenlos bereitgestellt. Voraussetzung bleibt die Anbindung an Azure Arc.

Wer ist betroffen?

  1. KMU mit Windows-Server-2025-Instanzen, die ihre Wartungsfenster am Wochenende bislang für monatliche Reboots opfern.
  2. Produktivserver mit langen Service-Restart-Zeiten (Datenbanken, File-Server, Terminalserver), bei denen ein Reboot den Betriebsablauf empfindlich stört.
  3. Unternehmen, die Hotpatching auf Azure-VMs bereits kennen und jetzt auf on-prem ausweiten wollen.

Nicht betroffen sind: Windows Server 2016, 2019 und 2022 (kein Hotpatching-Support), Server ohne Azure-Arc-Anbindung, Server in air-gapped-Netzwerken ohne jeglichen Cloud-Zugriff, Server mit Drittanbieter-Sicherheitssoftware, die Kernel-Hooks setzt und Hotpatch-Installationen blockieren kann.

Wie kritisch ist das?

Technisch nicht kritisch im Sicherheitssinn, sondern operativ sehr hilfreich. Die kostenlose Verfügbarkeit senkt die Patch-Hürde für KMU erheblich, weil keine Lizenzkosten mehr dazwischen stehen. Wer Azure-Arc-Anbindung akzeptiert, kann das Verfahren ohne Mehrkosten produktiv nutzen. Wichtig zu wissen: Hotpatching ändert nichts an der Patch-Pflicht selbst, sondern nur an der Reboot-Frequenz. Sicherheitsupdates müssen trotzdem zeitnah installiert werden.

Was sollten Admins jetzt tun?

  1. Bestandsaufnahme heute: Auf jedem Server in PowerShell (Get-ComputerInfo | Select-Object WindowsProductName, OsBuildNumber, OsHardwareAbstractionLayer) ausführen. Alle „Windows Server 2025"-Instanzen kommen für Hotpatching in Frage.
  2. Azure-Arc-Status prüfen: Auf jedem Server azcmagent show ausführen. Status muss „Connected" sein und einer Resource-Group zugeordnet sein.
  3. Azure-Portal vorbereiten: Sicherstellen, dass ein Azure-Abonnement mit Berechtigung „Azure Connected Machine Onboarding" existiert. Update Manager im Portal öffnen.
  4. Hotpatching aktivieren: Update Manager > Servers > Server auswählen > Capabilities > Hotpatching auf On. Beim ersten Aktivieren wird ein Baseline-Patch erzwungen, der einen Reboot erfordert. Diesen in ein Wartungsfenster legen.
  5. Wartungsfenster konfigurieren: Empfohlen Sonntag 22:00 bis 04:00 Uhr. Monatliche Hotpatch-Runden laufen automatisch zwischen 2. Dienstag 18:00 UTC und 4. Donnerstag.
  6. Compliance überwachen: Azure Policy „Windows servers should have hotpatching enabled" zuweisen, monatliche Reports über Update Manager > Updates history prüfen.

Voraussetzungen im Detail

  1. Windows Server 2025 Standard, Datacenter oder Azure Edition, physische Hardware oder Hyper-V/VMware on-prem.
  2. Azure-Arc-Connected-Machine-Agent 1.51 oder höher.
  3. Internetzugriff aus dem Servernetz zu login.microsoftonline.com, management.azure.com und *.blob.core.windows.net (Port 443 outbound). Kein ständiger VPN-Tunnel nötig.
  4. Administratorrolle „Azure Connected Machine Onboarding" im Ziel-Abonnement.
  5. Azure Update Manager im Abonnement aktiv, kostenfrei für Hotpatching-Orchestrierung.

Was kostet das wirklich?

Hotpatching selbst: kostenlos. Azure-Arc-Connected-Machine-Agent: kostenlos für die reine Anbindung. Azure Update Manager: kostenlos für Hotpatching. Was nicht kostenlos ist: Azure Monitor-Logs, Microsoft Defender for Cloud oder andere Hybrid-Management-Funktionen, die im selben Setup dazukommen. Hotpatching bleibt davon unberührt.

Einordnung für kleine Unternehmen

Für KMU mit 3 bis 20 Servern ist Hotpatching der pragmatischste Weg, monatliche Reboots zu reduzieren, ohne auf eine eigene WSUS-Infrastruktur oder komplexe Update-Management-Suiten zu wechseln. Wichtig: Azure Arc ist die Cloud-Anbindung. Wer aus Compliance-Gründen keine Cloud-Verbindung will, kann Hotpatching nicht nutzen. Wer die Anbindung akzeptiert, bekommt ein bewährtes Verfahren mit deutlich reduziertem Wartungsaufwand.

Passende Anleitungen auf S-EDV

  1. Windows Updates zentral steuern: WSUS und Update for Business
  2. Windows Server 2012 R2: Azure Arc ESU-Updates rollen teils zurück
  3. Microsoft Security Updates: Warum der monatliche Patch-Prozess sauber sein muss
  4. CISA KEV: Warum der Known Exploited Vulnerabilities Catalog für Admins Pflicht ist

Quellen

  1. Microsoft Learn: Hotpatch für Windows Server
  2. Microsoft Learn: Aktivieren von Hotpatch für Azure Arc-fähige Server
  3. Microsoft Tech Community: Hotpatching for Azure Arc–connected servers GA
  4. it-connect.tech: Windows Server 2025 Hotpatching Is Now Free via Azure Arc
  5. borncity.com: Windows Server 2025 Kostenloses Hotpatching für Azure Arc-Nutzer
  6. windowspro.de: Updates in Windows Server 2025 mit Hotpatching installieren
  7. Petri: Enable Windows Server 2025 Hotpatching
  8. TechTarget: How to use Windows Server 2025 hotpatching
  9. BleepingComputer: Microsoft Windows Server hotpatching to require subscription