Microsoft maakt patchen zonder reboot als bèta beschikbaar in Windows Enterprise

Microsoft heeft een bètaversie uitgebracht van hotpatching voor Windows 11 Enterprise. Met die functie is het niet langer nodig om de computer opnieuw op te starten als de patch geïnstalleerd is.

Hotpatching wordt niet voor alle updates van Windows beschikbaar, schrijft Microsoft in een aankondiging. De eerste update in ieder kwartaal blijft vereisen dat de computer opnieuw wordt opgestart. Deze updates bevatten niet alleen beveiligingsupdates, maar ook nieuwe features en verbeteringen. "In de twee maanden daarna worden hotpatchupdates aangeboden, die alleen beveiligingsupdates bevatten en geïnstalleerd kunnen worden zonder dat de computer opnieuw moet opstarten." De bedoeling is dus dat er jaarlijks acht hotpatchupdates verschijnen, naast vier updates waarvoor nog wel een reboot vereist is.

Hotpatching is vooralsnog alleen beschikbaar voor organisaties die een Microsoft-abonnement met Windows Enterprise E3 of E5, of een Windows 365 Enterprise-abonnement hebben. Apparaten moeten verder Windows 11 Enterprise versie 24H2 draaien en Microsoft Intune hebben. De hotpatches kunnen ingeschakeld worden via Intune en Windows Autopatch.

Hotpatching werd in februari al getest in een previewbuild van Windows 11. Destijds werd aangegeven dat hotpatching werkt op basis van virtualisation-based security. Dit kan gestart worden op computers die virtualisatie-extensies ondersteunen voor Intel, AMD or Arm. Microsoft kan daarmee de in-memorycode van een lopend Windows-proces aanpassen, zonder dat het proces opnieuw opgestart moet worden.

Reacties (97)

Pwigle 21 november 2024 11:52

Heb zelf 15 jaar bij Microsoft gewerkt waarvan 4,5 jaar in Redmond waarbij ik elke dag samenwerkte met de Windows productgroep (en zijn ~3500 developers).

Misschien interessant om te weten dat deze functionaliteit al jaren in Windows zit maar het aparte update packages vereist wat een kostbaar en complex verhaal is - om die reden wordt het nu alleen in bepaalde Windows versies aangeboden om het commercieel interessant te maken. Zonder dat laatste krijg je als initiatiefnemer (vaak een program manager) nieuwe functionaliteit die substantielle investeringen vereisen er moeilijk doorheen.

SunnieNL

@Pwigle • 21 november 2024 12:31

Als ze het de standaard zouden maken van Windows patches, hoeven ze er ook geen aparte update packages meer voor te maken en kan het gewoon niet-commercieel worden aangeboden.

Het klinkt in mijn ogen als een manier om concurrentie op patching gebied volledig buiten te sluiten.

Pwigle @SunnieNL • 21 november 2024 12:54

Het beheren van de Windows Update-infrastructuur is een gigantische uitdaging door de enorme schaal van ongeveer een miljard apparaten wereldwijd, variërende hardware- en softwareconfiguraties, en de noodzaak van compatibiliteit met legacy-systemen. Microsoft moet updates grondig testen om beveiliging, stabiliteit en rollback-opties te garanderen – vaak onder enorme tijdsdruk, zoals bij 0-day kwetsbaarheden. Begin er maar eens aan...

De testmatrix is al complex, en met elke wijziging wordt daar opnieuw een extra dimensie aan toegevoegd. Microsoft wil voorkomen dat het door een update negatief in het nieuws komt.

Overigens is dat ook de voornaamste reden dat in 2015 is overgegaan op cumulatieve updates. Voor die tijd konden losse updates (hotfixes) afzonderlijk worden geïnstalleerd, wat de matrix van Windows-versies en bestandsversies bijna oneindig maakte.

LadyGiga @Pwigle • 21 november 2024 15:11

"Microsoft wil voorkomen dat het door een update negatief in het nieuws komt."

Nou daar zijn ze dit jaar al een paar keer faliekant NIET in geslaagd ;-)

En het betert er percies niet op ook. Wat een zootje hebben ze er van gemaakt daar in Redmond.

kdekker @LadyGiga • 21 november 2024 20:16

Ik vermoed dat je geen benul van de complexiteit hebt, anders zou je dit niet zo zeggen. En waar gehakt wordt vallen af en toe spaanders. Het gaat erg vaak goed.

[Reactie gewijzigd door kdekker op 21 november 2024 20:17]

LadyGiga @kdekker • 3 december 2024 14:44

Heeft niks met benul van complexiteit te maken maar met het eindresultaat : MS Windows is en blijft een zootje ongeregeld. Je zal er maar productie mee draaien.... Wat een amateurisme toch - Zucht!

kdekker @LadyGiga • 3 december 2024 14:53

Er draaien heel veel bedrijven productie op Windows. Ik ben al zo oud, dat ik weet van de periode dat een wekelijkse boot van Windows noodzakelijk was. En updates regelmatig problemen opleverden. Dat is inmiddels (al jaren) zelden het geval (uitgezonderd: installeer geen hardware updates via windows update als dat niet echt nodig is, liever daarvoor de HW boer updates gebruiken, lees: Dell, HP, Lenovo oid).

Je kennelijk echt geen benul van de omvang van zowel het bedrijf Microsoft als de omvang van het aantal gebruikers (miljoenen dus). Zouden het echt amateurs zijn, dan zou het domweg niet zoveel gebruikt worden. Ter referentie; ik loop al tientallen jaren mee en heb me allerlei UNIX en Linux smaken gewerkt. Daar gaan soms dingen beter (maar ook niet altijd, c.q. in UNIX land is alles veel duurder) en met een groot bedrijf als IBM is het lang niet altijd eenvoudig support te krijgen van iemand die snapt waarover het gaat (en kennis genoeg heeft). Kortom: je mag roepen wat je wilt, maar zolang je het niet onderbouwt, klets je maar wat. En een N=1 ervaring is weliswaar vervelend, maar niet perse representatief.

Pwigle @LadyGiga • 22 november 2024 08:25

Updates met als gevolg dataverlies - komt dat vaak voor?

kimborntobewild @Pwigle • 22 november 2024 10:50

Updates met als gevolg dataverlies - komt dat vaak voor?

Het probleem is dat het al een probleem is als het maar één keer voorkomt in je leven

.
Daarom: 3 backups, waarvan 2 op verschillende media, en de derde op een andere locatie.

LadyGiga @Pwigle • 4 december 2024 13:57

Het zou nooit mogen voorkomen maar helaas...

TomPé @LadyGiga • 21 november 2024 17:32

En heel veel keren meer wel

LadyGiga @TomPé • 3 december 2024 14:46

Dat zou juist normaal moeten zijn, maar is het duidelijk weer eens niet bij MS ;-(

SunnieNL

@Pwigle • 21 november 2024 14:08

Blijft overeind staan wat ik zeg. Als dat wat je nu noemt een probleem is, zouden ze nu ook geen zero-reboot kunnen uitbrengen in betaalde vorm. Want ook voor die patches moet net als bij een normale test vanalles grondig getest en beveiligd worden.

De zero-reboot patches brengen nu een extra stap met zich mee naast de reguliere standaard updates. Echter, als je nou van die zero-reboot patches de standaard maakt, heb je dus het probleem niet meer van extra testen etc, je vervangt immers de standaard. Alle andere stappen blijven gewoon staan zoals ze normaal ook al staan.

En als Microsoft negatief in het nieuws willen komen bij een reboot, zou ik ze aanraden het test process eens goed te verbeteren. Want soms denk ik wel eens dat ze dat gewoon overlaten aan beheerders van alle systemen in de wereld.

Je maakt nu iets wat standaard al in Windows zit, een betaalde feature. Door het een betaalde feature te maken, kunnen andere patch producten daar geen gebruik van maken/die patches ook aanbieden. Daarmee drukt Microsoft dus de andere patch producten de markt uit.

Skit3000

@Pwigle • 21 november 2024 12:25

Wat maakt deze aparte packages complexer? Of is het alleen duurder en complexer omdat de manier waarop een update normaal wordt voorbereid, voor hotpatching nogmaals gedaan moet worden maar dan anders?

gimbal @Skit3000 • 21 november 2024 13:50

" Microsoft kan daarmee de in-memorycode van een lopend Windows-proces aanpassen, zonder dat het proces opnieuw opgestart moet worden"

Het klinkt eenvoudig en als het eenvoudig klinkt dan kun je een veilige aanname doen dat er duizend en 1 verborgen haken en ogen zijn. Ga in de praktijk maar eens bewijzen dat het na de hot-swap je systeem niet compleet kapot maakt. Het feit dat het ergens op een test systeem werkt zegt niets over jouw machine. Daarom is de herstart best wel lekker veilig, het kan dan op een sterk gecontroleerd moment gebeuren.

SunnieNL

@gimbal • 21 november 2024 14:10

In dat geval kunnen ze de feature beter helemaal niet uitbrengen lijkt me?
Veiliger voor iedereen.

Scriptkid @SunnieNL • 21 november 2024 14:58

vraag is waarom kan linux dat al jaren.

en app restart is geen probleem hele OS is een ander verhaal

Triblade_8472 @Pwigle • 21 november 2024 18:09

Leuke inside info!

Wat is eigenlijk het commerciële verschil tussen patchen met reboot en patchen zonder? Beide moet je toch testen?

Of is het kostbaar omdat ze beide naast elkaar moeten testen? In dat geval zou ik het logischer vinden als ze de +reboot teststraat de deur wijzen.

Blijft wel super handig als men met langdurende werk bezig is, maar wel beveiligd moet worden.

Als dit de standaard wordt, blijft alleen over dat gebruikers van de ene naar de andere multi-user server seamless worden verhuisd.

Guru Evi @Pwigle • 22 november 2024 03:22

Zit er al in sinds Windows NT nog OpenVMS was. Echter dat is ook het probleem met Windows (NT) het is gebaseerd op een Unix-like maar Microsoft is nooit de hardwareboer geweest, ik heb veel met Solaris op x86 gewerkt, maar hetzelfde probleem deed zich daar voor - als de hardware niet weet hoe te her-initialiseren zonder power cycle kun je het vergeten (Areca, Adaptec, Realtek, …)

Natuurlijk server-grade, nooit verstaan waarom ze geen ‘certified’ Windows Server hardware via Dell etc verkochten, misschien niet nodig geacht omdat de rest van de software nooit stabiel genoeg was, meester Windows reboots vroeger waren niet voor updates maar omdat een of andere software vastliep en de doos onbruikbaar maakte.

[Reactie gewijzigd door Guru Evi op 22 november 2024 03:23]

LadyGiga @Guru Evi • 4 december 2024 14:00

"Zit er al in sinds Windows NT nog OpenVMS was."

Windows NT is nooit OpenVMS geweest mijn beste.

Enkel 1 van de belangrijkste OpenVMS architects Dave Cutler werd ook main architect van Windows NT.

Een heel groot verschil...

Guru Evi @LadyGiga • 4 december 2024 14:22

Meer dan 1, Cutler en 20 werknemers van Digital kwamen mee. Het is enorm duidelijk als je met OpenVMS werkt (vandaag nog steeds een actief OS) dat het gewoon Windows NT met X11 is.

https://www.itprotoday.co...vms-the-rest-of-the-story

LadyGiga @Guru Evi • 4 december 2024 15:43

35j VMS op de teller en Windows NT komt nog niet aan de tenen van VMS mijn beste ;-)

Calamor 21 november 2024 11:23

Dat is erg mooi! Hopelijk komt het snel naar de desktop/laptop.

RoRoo @Calamor • 21 november 2024 11:31

Voor een server kan ik het heel goed begrijpen, een complete herstart is écht niet altijd nodig en in sommige organisaties ook heel lastig om te doen.

Maar voor een desktop?? Wat zou je use-case daarvoor zijn dan?

blorf @RoRoo • 21 november 2024 12:08

Het is al lang geen technische vereiste meer. Een goed geconfigureerde linux kan zichzelf helemaal optillen en alle hardware loslaten en opnieuw initialiseren zonder een reboot. Het hele idee van uitrollen op de permanente opslag is ook achterhaald. Alleen heeft Windows het probleem dat het onder geen enkele voorwaarde open of modulair mag worden om zichzelf te beschermen.

foobar79 @blorf • 21 november 2024 12:30

Je loopt wel tegen hele nieuwe problemen aan als je dit doet.
Heel veel hardware verwacht namelijk dat je daadwerkelijk regelmatig, zo niet elke keer, een poweroff doet. Hierdoor kan je tegen hele rare firmware issues aanlopen nadat je bijvoorbeeld je NIC voor de 200e keer opnieuw initialiseerd. Op zich is dit een bug MAAR dat betekend niet dat je fabrikant dit scenario goed ondersteund laat staan test.

blorf @foobar79 • 21 november 2024 12:41

Nooit meegemaakt dus 'heel veel' is het sowieso niet. Wel USB-apparaten die de stack vanaf opstarten lamleggen vanwege stroom tekort of een conflict met elkaar hebben.
Verder is het enkel een kwestie van een gestructureerd en stabiel systeem draaien. Een OS dat noodzakelijk opnieuw moet opstarten voor een wijziging is flauwekul. Wat is er daarna anders aan de situatie?

[Reactie gewijzigd door blorf op 21 november 2024 12:44]

foobar79 @blorf • 21 november 2024 12:48

Overigens start je op deze manier wel degelijk het OS opnieuw op alleen gaat ie niet door de BIOS heen.
Meer vergelijkbaar met wat vroeger, voor de oudjes onder ons, QEMM was voor MS-DOS.

Het equivalent van dit artikel onder linux is ksplice/kpatch dat overigens ook al de nodige tijd bestaat maar ook wel de nodige haken en ogen heeft.

blorf @foobar79 • 21 november 2024 12:55

Een paar jaar geleden in elkaar gezet met FreeBSD: laad de kernel en userland vanaf USB volledig in een memory-disk.
Na opstarten kun je de USB-stick eruit halen. In principe kan het systeem enkel op de chipset draaien zonder verdere apparaten. Met de RAM van hedendaagse PC's kun je ook nog gewoon een X.org met libreoffice installeren. Die ben je dan wel kwijt na een reboot.
Die kernel in de lucht krijgen was een klus, dat geef ik toe, maar ja, 1 persoon.
MS zou dit met Windows ook makkelijk kunnen doen maar dan heb je een maand na de release een kaalgestripte mod die overal alles op laat werken zonder verder iets van MS nodig te hebben.
Zelf net de laatste Windows install die ik had er vanaf getrapt omdat die het wel interessant vond om ingeplugde USB-sticks met een niet -MS bootloader even onklaar te maken achter het login-scherm. In middels draai ik al meerdere jaren zonder dat er een OS op schijf is ge-installeerd. Alleen maar opslag.

[Reactie gewijzigd door blorf op 21 november 2024 13:04]

foobar79 @blorf • 21 november 2024 13:23

Deze functionaliteit zal vooral gericht zijn op servers die om wat voor een reden dan ook niet gemakkelijk een fail-over kunnen doen.

Voor deze scenarios maakt het voor de applicatie niet uit of je OS 1 seconde of 10 minuten down is: beide is een probleem.
Zeker als je b.v. een database hebt die minuten nodig heeft om op te starten.

moredruid @foobar79 • 22 november 2024 14:02

Er staat toch heel duidelijk Windows 11 Enterprise. Dat is de desktop versie, anders zou het Windows Server 20XX moeten heten...

L0g0ff

@blorf • 21 november 2024 19:29

Het ding is dat bepaalde systeem bestanden vast staan door het draaiende OS. Die worden vrijgegeven bij het afsluiten en worden gepatched bij de nieuwe boot.

Sommige bestanden krijg je gewoon niet vrij. Vandaar dat je een hele enkele keer wel eens in veilige modus moet starten om file bestanden te swappen (laatst nog gehad op een corrupt exchange database availability group cluster).

Dus alleen wanneer je heel je os als microservices aan elkaar zou hangen denk ik dat hotpatching echt gaat werken.

En tot die tijd moeten we er maar gewoon voor zorgen dat je het applicatie landschap hoog beschikbaar maakt, want dan is een reboot echt geen enkel probleem

kdekker @blorf • 21 november 2024 20:22

Ik weet niet hoe Linux dit doet, maar van draaiende processen kun je niet de runtime vervangen. Die zit namelijk altijd geheugen en een al gestart proces kun je niet even omleggen naar een andere libc. Die zal waarschijnlijk blijven draaien met de oude code. Dus nog even vatbaar zijn voor veiligheidslekken.

Processen die met de kernel acteren, gaat volgens mij nog lastiger. Iig uit het verleden weet ik dat kernel modules regelmatig met een gewijzigde (kernel) interface te maken hadden. Ik zie niet in hoe je die on-the-fly kunt patchen.

Ik gok dat nieuw-ernaast de gebruikelijk strategie is in een live patching systeem. En oud uit laten sterven.

joco @blorf • 21 november 2024 15:29

hmm mijn ubuntu servers zeggen toch constant :"reboot required because of new kernel"

ik moet deze amazon instances nog regelmatig rebooten.....

digigast @joco • 21 november 2024 19:44

Reboot omdat je een nieuwe kernel hebt is volgens mij niet aan de orde hier.

Volgens mij gaat het hier om het Mickeysoft "opnieuw opstarten omdat de muis bewogen is" niveau van reboots waarbij je voor elke scheet een reboot moet doen.

Deel van de oorzaak is denk ik dat je in windows geen files kunt updaten als een proces het bestand open heeft. Dat is een redelijk Redmond-specifiek probleem.
(Edit: taaipooos)

[Reactie gewijzigd door digigast op 21 november 2024 19:45]

Dutch2007 @digigast • 22 november 2024 00:38

kon tot zekere hoogte op servers altijd wel:

https://www.howtogeek.com...-a-remote-desktop-server/

foobar79 @joco • 21 november 2024 16:20

Het kan zeker wel met Linux denk aan ksplice/kpatch.
Echter zitten de patches vaak achter een paywall en komt alleen mee met een subscription bij RedHat/Oracle/Ubuntu of bv tuxcare.

In het geval van Ubuntu bijvoorbeeld; heb je livepatch nodig.

NTAuthority

@blorf • 21 november 2024 19:13

Opnieuw opstarten zonder de hele machine te herstarten: iets als Kernel Soft Reboot?

Opstarten vanaf een image bestaat al sinds Vista, de installatiemedia wordt bijvoorbeeld als ramdisk geladen.

New_Interfaces @RoRoo • 21 november 2024 11:33

Eigenwijze eindgebruikers die niet de desktop/laptop herstarten en waarbij je geen force-reboot wil uitvoeren. :-)

84hannes @New_Interfaces • 21 november 2024 11:40

Eigenwijze eindgebruikers

Eigenwijs? Ja. Maar in hun verdediging, een reboot na updates op Windows duur best lang en je moet er bij blijven als BitLocker actief* is.

edit:

1) Veel mensen lezen "best lang" als "erg lang". In mij definitie is "best lang" vervelend om niets te doen, en "erg lang" een serieuze inbreuk op je productiviteit. Windows Update is naar mijn mening meer vervelend dan een inbreuk op je productiviteit.
2) Door de reactie begrijp ik dat veel mensen BitLocker gebruiken zonder pincode. Waarom ontgaat me, maar blijkbaar is er veel angst dat iemand een disk uit je computer of laptop zou stelen zonder de rest van de machine mee te nemen. Misschien zijn er andere aanvallen waartegen je dan beschermt, maar daarvoor ken ik de materie niet goed genoeg.

[Reactie gewijzigd door 84hannes op 21 november 2024 14:18]

oef! @84hannes • 21 november 2024 11:50

Bitlocker? Als ik dat al meegemaakt heb is dat lang geleden en "erg lang" is wel erg dramatisch, doorgaans is het hoogstens een minuut of 2 op een semi modern systeem.

Get!em @oef! • 21 november 2024 12:10

Hier op werk, alle laptops met bitlocker pincode bij elke reboot. Als de update bij afsluiten eerst nog lekker de update installeert voor reboot, dan is het enorm irritant dat je 5 minuten naar dat scherm van 10-20-30% zit te kijken, en dan wacht op het pincode scherm, omdat hij anders niet doorgaat met booten.
Na de pincode intoetsen, krijg je alsnog een % status scherm. Laat staan, als een update 2 of meer bootcycles nodig heeft.

Recent de W11 upgrade gedaan op de werklaptop, en daar moest ik toch echt bovenop blijven kijken om de pincode optijd weer erin te zetten.

oef! @Get!em • 21 november 2024 12:22

Dat lijkt me een inrichtingsissue eerlijk gezegd. Ik heb de afgelopen jaren heel wat laptops van verschillende werkgevers gehad en heb hier nooit problemen mee gehad.

SunnieNL

@oef! • 21 november 2024 12:40

Security issue. Bitlocker geconfigureerd met pincode gaat echt wachten tot je die pincode invoert. Dat is veiliger dan bitlocker actief hebben zonder pincode. Waarom?

Zonder pincode kan elke persoon (ook iemand die een laptop vind in de trein) de laptop starten tot aan het logon scherm. Bitlocker heeft dan de disk al decrypt. Top, dan kunnen we makkelijker bij de data.

Met pincode zal de laptop gaan vragen om een pincode voor decryptie. Voer je die niet in, dan blijft de disk encrypt en kom je niet bij de data.

Dus nee, het is niet perse een inrichtingsissue. Er zijn nou eenmaal bedrijven waarvan data secure moet blijven en dat is de data niet als je tot het inlogscherm kan komen zonder extra beveiligingslaag zoals een pincode bij starten.

oef! @SunnieNL • 21 november 2024 12:57

Maar is het echt een security issue? Ik zit in de biz en kom dus in aanraking met hardening en allerlei policies maar het invoeren van een bitlocker code bij een update is geen gespreksonderwerp. Ik heb de vraag ook in Copilot en Gemini gegooid en ook die geven aan dat het geen best practice is.

Een login scherm is nog steeds een blokkade om bij de data te komen, met Windows Hello en een sterk wachtwoord beleid wordt dat verdomd lastig.

SunnieNL

@oef! • 21 november 2024 13:45

Het probleem is dat de disk dan al decrypt is en de machine online is. Stop er een ethernetkabel in en hij zit ook op het netwerk. Het zal niet de eerste keer zijn dat er een security bug in Windows zit waardoor je dan gewoon op de disk kan komen of remote dingen kan starten en de data kan extracten.

Misschien is het geen gespreksonderwerp omdat de meeste mensen het ook geen probleem vinden om de pincode in te voeren bij een update. Ik kies zelf altijd update and shutdown. Dan doet Windows update het eerste deel en gaat uit. Als ik hem dan weer aan zet moet ik hooguit iets langer wachten om de update af te ronden.

DDX @SunnieNL • 21 november 2024 14:06

De apple manier is dan wel beter, daar krijg je een preboot inlog scherm waar je gewoon met je wachtwoord kan inloggen.
En heb je niet een apparte pincode oid nodig.

YGDRASSIL

@SunnieNL • 22 november 2024 08:17

Je disk wordt niet gedecrypt als je de pincode invoert. Dat gebeurd on the fly bij lezen via de officiele api. Als je op het windows logon scherm staat en je haalt dan de disk eruit is ie nog steeds encrypted.

SunnieNL

@YGDRASSIL • 22 november 2024 12:08

Dat weet ik wel, maar zolang mensen niet snappen dat als de laptop is opgestart die 'officiele api' gewoon doodleuk de bestanden decrypt aanbiedt op allerlei manieren kan ik het beter makkelijk houden.

Het gaat erom dat als de laptop helemaal is opgestart en op het logon scherm zit je er via allerlei manieren bij de data kan terwijl de machine aan staat en de data in decrypte vorm benaderbaar is.

Met pincode op bitlocker start de hele laptop niet op als je niet de juiste pincode en kom je dus nooit in een bedrijfstoestand van de laptop dat hij is gestart en de data benaderbaar is.

borft @oef! • 21 november 2024 16:30

hmm, dan heb je erg veel vertrouwen in de implementatie van je tpm chip. Het betekent gewoon dat de descryption sleutel vrij gegeven wordt zonder enige vorm van authenticatie, dat lijkt mij niet heel erg veilig.

Blokker_1999

Windows 11
Microsoft
Beveiliging en antivirus
Security

@Get!em • 21 november 2024 12:28

De eerste 30% is voor de reboot

Je kiest op het einde van de werkdag voor update + shutdown, de volgende werkdag start je de laptop op, geeft je PIN code in en gaat om wat koffie. Tegen dat je terug bent is de laptop opgestart.

En zelfs al zit ik 2u naar dat scherm te kijken, maakt me niet uit, de baas betaald!

En die upgrade? Ga met je IT afdeling spreken. Zij moeten die aanbieden op een manier dat die PIN of BitLocker in het geheel, even kan opgeschort worden.

Carlos0_0 @Blokker_1999 • 21 november 2024 12:43

Precies gewoon aan einde van de dag je pc/ laptop afsluiten, dan krijg je geen onverwachte verplichte reboot.
Dan doet hij de 1ste 30% tijdens afsluiten, en de rest de volgende keer als je opstart.

Ja goed misschien duurt dit iets langer dan normaal, maar goed het is oppstarten in de ochtend niet moeilijk doen.
Je pakt een bak koffie en als je terug bent is die wel op het login scherm.

84hannes @oef! • 21 november 2024 12:56

erg lang" is wel erg dramatisc

Dat ben ik met je eens, maar die kritiek moet je bij @Loller1 neer leggen. Ik had het over "best lang".

Als jij je pincode niet nodig hebt om je schijf te ontsleutelen, waarom is je schijf dan überhaupt versleuteld? Ik snap niet helemaal welke beveiliging BitLocker zonder pincode toevoegd.

SunnieNL

@84hannes • 21 november 2024 13:50

Die laatste discussie heb ik al zo vaak gehad met mensen

Het enige waar het tegen beschermd is de disk uit het device nemen en aansluiten. Dan blijft de data versleuteld. Het ontgaat iedereen dat als bitlocker start zonder pincode, dat de disk al decrypt is bij het inlogscherm. Sluit een ethernetkabel aan en hij zit op het netwerk.
Dan is het een kwestie van zoeken naar een remote execute of andere security flow en je kan bij de data.

Of je zoekt in publieke data uit dataleaks of de persoon in kwestie mogelijk een wachwoord heeft gelekt (immers, windows geeft meestal wel aan wie de persoon is) en probeert het vanaf dat punt op het logon scherm.

Loller1

Microsoft

@84hannes • 21 november 2024 11:45

Definieer "erg lang". Zo'n reboot duur hoogstens 5 minuten.

84hannes @Loller1 • 21 november 2024 11:49

Definieer "erg lang". Zo'n reboot duur hoogstens 5 minuten.

Ik heb het nooit over "erg lang" gehad, dat zijn jouw woorden.
Vijf minuten is best lang als je zit te wachten. Als je wegloopt dan kom je terug en staat je laptop uit omdat je je BitLocker pin niet hebt opgegeven. Als Windows eindelijk klaar is met booten kun je inloggen, je applicaties weer starten etc. Dat is allemaal niet erg vergeleken met honger ofzo, maar het is wel klein leed waar je als gebruiker niet op zit te wachten.

[Reactie gewijzigd door 84hannes op 21 november 2024 14:19]

Blokker_1999

Windows 11
Microsoft
Beveiliging en antivirus
Security

@84hannes • 21 november 2024 12:25

Bitlocker met PIN heb je in de basis enkel bij bedrijven, en dan is het tijdens de werktijd van de baas. Dat kan geen kwaad.

En thuis, daar installeer je die updates gewoon als je 's avonds naar bed gaat.

84hannes @Blokker_1999 • 21 november 2024 14:19

Bitlocker met PIN heb je in de basis enkel bij bedrijven

Ik reageer dan ook op

Eigenwijze eindgebruikers die niet de desktop/laptop herstarten en waarbij je geen force-reboot wil uitvoeren. :-)

Dat lijkt over bedrijven te gaan.

kakanox @Blokker_1999 • 11 december 2024 15:12

Hoezo kan werktijd van de baas geen kwaad?
Hangt er sterk vanaf hoe zwaar je als werknemer belast wordt.

Daarnaast maken updates in werktijd het besturingssysteem dus tot een grotere kostenpost. Lijkt me echt niet wenselijk.

Dennism

Security

@84hannes • 21 november 2024 11:45

Dat hangt volledig af van de update status van de machine (soms duurt het langer als je achter loopt, maar niet altijd), en de hardware. Op moderne machines kost dit amper nog tijd, denk aan een minuutje ofzo voor de maandelijkse updates.

Bij blijven voor bitlocker is ook niet nodig, wij patches zakelijk bijvoorbeeld alle machines op afstand via tools als SCCM / Intune e.d. zonder dat de gebruiker (behalve de reboot) daar iets van merkt. En al die machines gebruiken bitlocker.

kakanox @Dennism • 11 december 2024 15:19

Mij valt op dat het bij onze krachtige devbakken juist relatief lang duurt.
Dan heb ik het over Ryzen7 laptops met 64GB RAM en 2x M.2 SSD in RAID 0 (990 Pro).

Die machines zijn in het dagelijks werk razendsnel, maar er staat wel veel software op geinstalleerd.
De laatste H4 update (ja ik weet het, meer dan een maandelijkse fix) duurde zo'n 20 minuten.

Dennism

Security

@kakanox • 11 december 2024 15:24

Dat is dan ook geen update maar een upgrade

Wezenlijk verschil en ja, upgrades duren vaak langer omdat het onderwater eigenlijk gewoon een herinstallatie is. Al heeft MS daar ook flinke winst geboekt, niet heel lang geleden was dat soms nog makkelijk een uur+ als je machine niet heel goed onderhouden was.

Ik had het uiteraard bij zaken bijna geen tijd meer kosten uiteraard over de maandelijke updates, geen versie upgrades (denk aan 23H2 naar 24H2).

kakanox @Dennism • 11 december 2024 15:27

Klopt, ik schreef het al. Maar dan nog: Als we die upgrade en update nou zo kunnen doen dat de hele installatie gedaan wordt voor afsluiten, dan is de reboot altijd snel en besparen we wereldwijd tijd en geld.

Dennism

Security

@kakanox • 11 december 2024 15:41

Met welke tooling doe je de installatie? Met bijv. een SCCM is het prima te regelen dat updates geinstalleerd worden tijdens bijvoorbeeld de werkdag, maar met een supressed reboot. En dat dan wanneer er afgesloten wordt de verwerking gedaan wordt.

Carlos0_0 @New_Interfaces • 21 november 2024 12:39

Hebben ze bij mij pech op het werk, een update die een reboot nodig heeft gaat gewoon.
Na 10 uur ofzo gaat die gewoon herstarten, je krijgt nog even de melding met wat tijd af te sluiten klaar.

Alleen pc's in de productie ofzo, die gaan op specifieke tijden updaten / herstarten.

pbk @RoRoo • 21 november 2024 11:34

Ken in mijn omgeving veel gebruikers die de laptop altijd dichtklappen ipv afsluiten en opnieuw starten, waardoor updates pas veel later worden geïnstalleerd. Daarvoor zou dit wel een uitkomst zijn.

Marve79 @pbk • 21 november 2024 12:20

Ik doe hetzelfde maar wij hebben verplichte reboots. Echt irritant

pbk @Marve79 • 21 november 2024 12:34

Ja, tegenwoordig kan je in je tenant bij updates instellen na hoeveel tijd er opnieuw opgestart moet worden.

Carlos0_0 @Marve79 • 21 november 2024 12:44

Dat is niet heel irritant maar heel goed, een machine moet gewoon eens af en toe opnieuw gestart worden

.
Gewoon aan het einde van de dag je werklaptop afsluiten, heb je nooit ergens last van en worden updates gewoon verwerkt

mr_evil08 @pbk • 21 november 2024 12:39

Die update,s komen er wel op als de timer overschreden is, op gegeven moment kan je niet meer uitstellen.

Calamor @RoRoo • 21 november 2024 11:45

Ik werk op een school en heel veel studenten zetten hun laptop in slaapstand, door hun laptop dicht te klappen.
Het is niet ongewoon dat een laptop aangeeft dat die al een maand in gebruik is.
Als er dan een probleem is, hoeft er dan niet gewacht te worden voordat de update geïnstalleerd nog moet worden bij een reboot.
Dat scheelt heel veel tijd, vooral dat sommige laptops niet de snelste zijn.

[Reactie gewijzigd door Calamor op 21 november 2024 11:46]

dasiro @Calamor • 21 november 2024 12:28

als je een shutdown doet, dan wordt je pc ook in deep-sleep gezet en blijft je uptime doorlopen, tenzij dit expliciet is uitgeschakeld in de bios.

RoRoo @dasiro • 21 november 2024 13:55

Niet in de BIOS gewoon elevated commandline: powercfg /h

Calamor @RoRoo • 21 november 2024 12:16

Waarom voor de desktop.
Ik gebruik een computer die niet vaak aanstaat, maar als die aanstaat dan kan die wel een paar dagen aan 1 stuk aanstaan en dan is het niet fijn als die in de nacht toch een reboot doet voor een update.

mr_evil08 @Calamor • 21 november 2024 12:34

Best wel een ergenis als je savond's wil afsluiten en de laptop gaat updaten om er op te moeten wachten...

Daarom hier kieper ik de werklaptop aan het einde van de dag gewoon in de tas en hij redt zich daar maar mee(ja slecht ivm koeling etc) en met regelmaat is de accu compleet leeg omdat de laptop blijft staan op bitlocker scherm tijdens opstarten.

Op werklaptops draaien allerlei zaken/policy,s waardoor ze veel langzamer zijn dan een consumentenlaptop.
(Ja best slecht ik als sysadmin hoort beter te weten maar ik ga niet over beheer van deze laptop, als ze willen dat ik iets uitvoer doe ik dat wel netjes uiteraard).

[Reactie gewijzigd door mr_evil08 op 21 november 2024 12:41]

3d-pint @RoRoo • 21 november 2024 16:22

Maar voor een desktop?? Wat zou je use-case daarvoor zijn dan?

Als je een AI-model maanden aan het trainen bent is het verschrikkelijk irritant als je bij je PC terugkomt en ziet dat hij weken geleden opnieuw is opgestart en vanaf toen al die dagen niets heeft staan doen. En die updates zijn erg lastig te omzeilen (behalve door de netwerkkabel eruit trekken).

RoRoo @3d-pint • 21 november 2024 22:56

Ik ben dom en onwetend, maar is Windows daar sowieso niet het minst geschikt voor? Of is dat vrij gangbaar.

En volgens mij kan je prima via gpedit.msc updates uitschakelen tot je zelf zoekt, maar in deze use-case begrijp ik het wel weer.

3d-pint @RoRoo • 22 november 2024 15:09

Tensorflow werkt prima op Windows, ben nog geen problemen tegengekomen.

YGDRASSIL

@3d-pint • 22 november 2024 08:26

Een AI model maanden trainen op een desktop windows PC? Dat is sowieso niet handig. Maar je kan in windows via de registry instellen dat windows update niet uit zichzelf reboot als er een user ingelogd is. Probleem opgelost denk ik?

me23 @RoRoo • 22 november 2024 12:27

Use-case: gemak!

Als je niet anders gewend bent is het misschien acceptabel maar als linux gebruiker vind ik het superirritant als Windows moet updaten en/of herstarten. Het gebrek aan snelheid (zowel downloaden als installeren) bij installatie van patches is ook niet meer van deze tijd en dan heb ik het nog niet over patches die niet goed geinstalleerd worden en waarvoor je weer naar een oplossing moet zoeken.

Linux doet dit al heel lang heel veel beter. En nee, dit is niet bedoeld om een flameware uit te lokken; gebruik het OS dat je nodig hebt en ook ik ontkom nog steeds niet helemaal aan Windows maar op dit vlak is Linux veel veel beter.

wica @Calamor • 21 november 2024 12:18

Ik snap het hele probleem niet van rebooten.
Bij een desktop ben je binnen een paar minuten weer online en bij een server een paar minuten later.

En kom nou niet met, jamaar er draaien kritisch applicaties op enzo, wat ga je doen bij een HW defect of bij een stroom storing?

Het reboot moment, is juist een mooie manier om je server te testen of die goed terug komt. Je wilt dit niet bij een storing midden in de nacht tegen komen. En of je applicatie het uitvallen van een enkele server goed aankan. Wat je ook niet pas midden in de nacht wilt ontdekken.

Heb bij bedrijven gewerkt, waar we enkel updates en reboot midden in de nacht deden, want eng.
En bij bedrijven, waar we dit gewoon overdag deden, want wij waren toch in controle over het platform i.p.v. dat het platform in controle was over de engineers.

SunnieNL

@wica • 21 november 2024 12:36

Je werkt blijkbaar niet in een bedrijf dat 24/7 doorwerkt.
Probleem van rebooten is maintenance windows. Probleem van maintenance windows is dat de boel plat moet. Je kunt er niets in plannen.

Een OR van een ziekenhuis kun je heel lastig maintenance windows voor plannen tenzij je gewoon domweg zegt dat de boel dicht gaat. Je kan dan niet strak plannen tegen het maintenance window aan, omdat er mogelijk een complicatie optreedt en de boel langer duurt.
Gevolg is dat de OK dus voor langere tijd niet ingepland wordt voor zo'n update. Langere tijd geen operaties is minder inkomsten voor het ziekenhuis en daarnaast niet zo handig voor je spoed eisende hulp.

En zo zijn er ook productie processen die je gewoon niet even kan stoppen en waar maintenance windows een hele dure grap zijn. Hoe minder er daar van zijn, hoe beter inplanbaar en hoe minder geld het kost voor het bedrijf.

wica @SunnieNL • 21 november 2024 13:25

Je werkt blijkbaar niet in een bedrijf dat 24/7 doorwerkt.

Auw.
Ik werk voor bedrijven waar we 24/7 het platform in de lucht moeten houden. 99,999 uptime enzo.
Ik als engineer, kan dit enkel bieden, als ik een server op elk random moment kan rebooten. Ja, dit betekent, dat je bij het ontwerp van je platform bepaalde beslissingen moet nemen. En misschien ook wel voor moet gaan betalen.

Als hier geen rekening mee gehouden wordt, en toch deze eis er is. Dan brand ik mijn vingers niet aan zo'n platform. Naar mijn persoonlijke mening, zijn er dan verkeerde beslissingen genomen bij het ontwerpen van het platform. In elk platform is de afgelopen 10 a 20 jaar een vorm van redundantie in te bouwen.

Weet je wat de kosten zijn, als zo'n server wat niet plat mag gaan, in eens wel plat gaat en misschien dan niet eens meer te starten is?
Als een engineer ineens opgeroepen moet worden op vaak onmogelijke tijden?

SunnieNL

@wica • 21 november 2024 13:57

We praten niet alleen over servers, maar ook clients. Servers zijn vaak HA en redundant uit te voeren. Voor clients wordt dat al een stuk lastiger.

Stel je hebt een hele grote productie machine. Die dingen hebben meestal niet 2 controller devices er aan hangen waardoor je er makkelijk 1 uit kan zetten. Dat is gewoon 1 device verbonden met die machine. Device uit, machine stopt de productie. Want als die machine de productie zou voortzetten zonder controller, dan is dat een veiligheidsprobleem voor de mensen die met die machines werken.

Het risico op hardware failure is ingebouwd in het productie proces en verzekerd. Dat wil echter niet zeggen dat voor een update die machine zomaar uit kan. Dat wil je zo veel mogelijk vermijden zodat die machine zo lang mogelijk door kan blijven gaan.

Is die machine onderdeel van een keten, dan wordt het nog veel lastiger om de boel te stoppen.

Hoe minder zulke machines hoeven te rebooten, hoe beter dat is. In veel gevallen worden ze nu namelijk gewoon helemaal niet geupdate voor maanden tot een jaar.

SirBlade @SunnieNL • 22 november 2024 00:11

In zo'n machine hang je meerdere controllers die volgens een concensus model werken. Als er 1 vreemd begint te doen (of helemaal uitvalt) wordt hij door de anderen uit de groep gezet en kan hij zsm vervangen worden. Als dat werkt in vliegtuigen moet het ook werken in fabrieken.

SirBlade @SunnieNL • 21 november 2024 13:13

Daar hebben we clustering, loadbalacing en dergelijke voor uitgevonden. En voor endpoints verwissel je simpelweg de endpoint. "Treat hardware and software as cattle, not pets".

SunnieNL

@SirBlade • 21 november 2024 14:00

Zo simpel is dat niet in een fabriek, simpelweg dat endpoint wisselen.
Vaak is er niet eens een spare en wisselen brengt nog steeds downtime met zich mee
En in de tijd dat je een endpoint wisselt kun je hem net zo goed die reboot geven, want dat laatste is vaak sneller.

Probleem is dat productie processen niet zomaar kunnen worden gestopt en vaak lang duren voordat ze weer zijn gestart.

harry899 @SunnieNL • 21 november 2024 12:44

vind de OR nou niet een heel goed voorbeeld
Ik neem aan dat zo'n desktop/laptop 1 op 1 is in te wisselen voor de "OR2 laptop"

Ik zie zelf ook niet helemaal het nut in voor nooit rebooten van een desktop.

MISTERAMD 21 november 2024 11:34

Echt een verbetering? Al zal het bij verkeerde implementatie in de code die aan het draaien is, er wel voor kunnen zorgen dat er een BSOD optreed of dat Windows gewoon niet meer reageert. Dus dan hoop ik wel dat Microsoft geen fouten maakt.

Men herstart zijn computer omdat er soms delen in het geheugen blijven zitten ook al draait de toepassing of programma niet meer. En als je dan "hotpatches" gaat toepassen op een Microsoft programma, welke nog gedeeltelijk of volledig in het geheugen aanwezig is, ook al draait het programma niet meer, dan heb je dus rare fenomenen.

Stukje code in de hotpatch zou eerst moeten zijn, om het geheugen van het programma dat zal worden gepatched / geupdate, eerst te cleanen uit het geheugen, alvorens de update daadwerkelijk toe te passen.

ZeRoC00L 21 november 2024 11:43

Eindelijk wat extra functionaliteit voor Windows enterprises

dez11de 21 november 2024 12:28

Hoe weet je dan of de machine nog wil booten na het installeren van de patch?

Carlos0_0 @dez11de • 21 november 2024 12:49

Dat weet je nu ook niet tot je eens herstart

Dunta 21 november 2024 13:05

Ik ben benieuwd of dit ook voor Educatie (A3 en A5) abonnementen beschikbaar wordt gesteld, en Windows 11 Education. Deze licenties en Windows editie zijn nagenoeg gelijk aan Enterprise.

Franckey 21 november 2024 13:34

Het is juist fijn om af en toe een keer te rebooten, aangezien een normale showdown een hibernate van het OS is om snel op te kunnen starten.

michielonline 21 november 2024 15:37

Het is een uitdaging op zichzelf om een kwartaal met je windows computer te werken en deze een vol kwartaal niet te herstarten. Hibernate/sleep werkt prima, maar mijn ervaring is dat je na een week of 2 toch een keer moet rebooten om alles weer een beetje op te schonen. Niet perse door issues in Windows, maar memory leaks in drivers of third party apps, updates van third party apps, etc.

borft @michielonline • 21 november 2024 16:36

als er een memory leak in een applicatie zit, volstaat het toch de applicatie opnieuw op te starten (of te vervangen door een betere applicatie)? en drivers met memory leaks zou ik ver van weg blijven; brrrr

Gé Brander 21 november 2024 19:08

Ik hoop dat dit de opstap is naar patchen van SQL Server zonder herstarten van de services.

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (97)

Sorteer op:

Weergave: