← Terug naar blog
Security

Windows hotpatching als nieuwe standaard: beveiligingsupdates zonder herstart en wat IT-teams nu moeten controleren

Door Zarioh Digital Solutions6 min leestijd
Delen
Windows hotpatching als nieuwe standaard: beveiligingsupdates zonder herstart en wat IT-teams nu moeten controleren

Windows Autopatch schakelt hotpatching standaard in voor alle geschikte endpoints. Beveiligingsupdates worden voortaan in het geheugen toegepast zonder herstart, en de transitie vindt deze maand plaats. Wat is hotpatching, welke apparaten komen in aanmerking en welke acties moeten IT-teams nu nemen?

Windows Autopatch heeft dit kwartaal een stille maar significante wijziging doorgevoerd: hotpatching wordt per juni 2026 standaard ingeschakeld voor alle geschikte endpoints. Wat begon als een opt-in-functie voor Windows 11 Enterprise-klanten begin 2025, is nu de nieuwe norm voor elke organisatie die Windows Autopatch gebruikt met eligible hardware.

De impact op de dagelijkse IT-werking is direct. Minder geplande herstarts, kleinere updatepakketten en een kortere blootstellingsperiode tussen het verschijnen van een beveiligingspatch en de installatie ervan. Tegelijkertijd zijn er specifieke vereisten, een nieuwe updatecyclus en situaties waar uitschrijven zinvol is. Dit artikel zet de essentie op een rij.

Wat is hotpatching en hoe verschilt het van een reguliere update?

Een gewone Windows-beveiligingsupdate vervangt bestanden op schijf en vereist een herstart om de nieuwe code in het geheugen te laden. Hotpatching werkt anders: de patch wordt direct op de lopende processen in het geheugen toegepast, zonder dat een herstart nodig is. De schijfbestanden worden tegelijkertijd bijgewerkt voor consistentie, maar de herstart kan worden uitgesteld naar het eerstvolgende reguliere onderhoudsvenster.

Het verschil is direct relevant voor de beveiligingspositie van een organisatie. Herstarts worden vaak uitgesteld, zeker bij actieve gebruikers of bedrijfskritische workloads. Precies die uitsteltijd is het venster waarin een kwetsbaarheid exploiteerbaar blijft. Hotpatching verkleint dat venster aanzienlijk, omdat de bescherming actief is zodra de patch is geïnstalleerd, ongeacht wanneer het apparaat daarna herstart.

Hotpatch-pakketten zijn bovendien significant kleiner dan de standaard cumulatieve updates, wat bandbreedte bespaart bij organisaties met veel endpoints en de installatietijd per apparaat verkort.

Waarom schakelt Microsoft hotpatching nu standaard in?

Hotpatching was al beschikbaar als opt-in voor Windows 11 Enterprise E3/E5 en Windows 365 Enterprise. De adoptie verliep positief, de technologie bewees zich en Microsoft heeft besloten de stap te maken naar een standaard-aan instelling. De redenering is dezelfde als bij andere beveiligings-defaults: een functie die aantoonbaar de beveiligingsstatus verbetert, moet niet van bewuste activering afhangen om breed effect te hebben.

De timing past in een bredere beweging waarbij Microsoft security defaults verschuift. Multi-factor authenticatie werd standaard ingeschakeld voor nieuwe tenants, Security Defaults in Entra ID worden periodiek aangescherpt, en nu volgt hotpatching in Autopatch. Het patroon is consistent: wie niets doet, wordt automatisch beter beveiligd.

De transitie begon met de mei 2026 Patch Tuesday en loopt door in het juni-onderhoudsvenster. Vanaf 15 juni 2026 zijn alle eligible apparaten die aan de vereisten voldoen overgezet naar de hotpatch-channel.

Welke apparaten komen in aanmerking?

Niet elk Windows-apparaat in uw omgeving profiteert automatisch van hotpatching. Er gelden vereisten op drie niveaus.

Op licentieniveau is hotpatching beperkt tot Windows 11 Enterprise of Education-edities, gekoppeld aan E3-, E5-, A3- of A5-licenties. Apparaten met Windows 11 Pro komen niet in aanmerking en blijven de standaard cumulatieve update ontvangen.

Op OS-versieniveau is Windows 11 24H2 de minimumvereiste. Apparaten op oudere builds vallen terug op de reguliere Latest Cumulative Update.

Op hardwareniveau zijn drie beveiligingsfuncties vereist: Secure Boot moet ingeschakeld zijn, Virtualization Based Security (VBS) moet actief zijn in enforced mode, en Hypervisor-Enforced Code Integrity (HVCI), in Windows-instellingen zichtbaar als Memory Integrity, moet aan staan. Apparaten die op minstens één punt niet voldoen, ontvangen automatisch de standaard LCU. Dat fallback-gedrag is ingebouwd, zodat de transitie geen updates blokkeert voor niet-eligible apparaten.

Hoe ziet de updatecyclus er nu uit?

Hotpatching volgt een driemaandelijkse cyclus. Elk kwartaal begint met een baseline-update: een volledige cumulatieve update die een herstart vereist. Dat is de referentiebuild waarop de hotpatches van de volgende twee maanden worden opgebouwd. In die twee maanden na de baseline ontvangen eligible apparaten de hotpatch-updates — beveiligingsfixes die in het geheugen worden toegepast zonder herstart.

Van de twaalf Patch Tuesday-cycli per jaar zijn er dus vier waarbij een herstart vereist is (de baseline-maanden) en acht waarbij de herstart optioneel is (de hotpatch-maanden). Microsoft noemt een reductie van het herstartvolume van tot wel vijftig procent voor quality updates.

Apparaten die op het moment van de hotpatch-release niet exact op de baseline-build draaien, kunnen de hotpatch niet ontvangen en vallen terug op de volledige LCU. Dit is een praktisch aandachtspunt voor apparaten die door netwerkproblemen of reisbeperkingen een baseline-update hebben gemist: zij kunnen pas meedoen aan het volgende baselin-kwartaal.

Vijf dingen die IT-teams deze week moeten controleren

Ten eerste: inventariseer welke apparaten eligible zijn. Filter in het Intune-portaal op Windows 11 24H2 en Enterprise-licenties. Apparaten met die combinatie die via Autopatch worden beheerd, zijn de kandidaten voor de hotpatch-channel. Apparaten die er niet aan voldoen, hoeven geen aanvullende actie.

Ten tweede: controleer HVCI-status. Memory Integrity staat niet standaard aan op alle apparaten, met name niet op machines die zijn geüpgraded vanuit een oudere Windows-versie. In Intune kunt u via een configuratieprofiel onder Endpoint security VBS en HVCI afdwingen. Doe dit bij voorkeur vóór de hotpatch-transitie om het aantal eligible apparaten te maximaliseren.

Ten derde: controleer bestaande Autopatch-policies op conflicten. Apparaten die zijn toegewezen aan een kwaliteitsupdatebeleid dat hotpatching niet toestaat of een specifieke update-deferral heeft, worden niet automatisch overgezet. Bekijk uw Autopatch-configuratie op beleidsregels die de default kunnen overrulen.

Ten vierde: bereid de helpdesk voor op gebruikersvragen. Eindgebruikers zullen updatenotificaties zien zonder de gebruikelijke herstartprompt, wat vragen kan oproepen. Een korte interne mededeling — updates gaan door, herstarten is niet nodig — voorkomt onnodige tickets.

Ten vijfde: stel rapportage in voor hotpatch-status. Intune-rapporten tonen welke apparaten succesvol de hotpatch hebben ontvangen en welke zijn teruggevallen op de LCU. Monitor dit actief de eerste weken om te zien of er onverwacht veel apparaten niet eligible blijken.

Wanneer is uitschrijven zinvol?

Microsoft biedt via de Autopatch-configuratie een opt-out-optie op tenantniveau. Uitschrijven is zinvol in een beperkt aantal scenario's. Organisaties met line-of-business-applicaties die gevoelig zijn voor in-memory wijzigingen willen mogelijk eerst testen in een pilotgroep voordat de standaard-uitrol plaatsvindt. Omgevingen met strikte change management-vereisten waarbij elke wijziging door een formeel goedkeuringstraject moet, hebben reden om de planning van hotpatch-cycli apart bij te houden.

Maar Microsoft is duidelijk over de bedoeling: de opt-out is bedoeld voor specifieke testomstandigheden, niet als algemeen beleid. Organisaties zonder concrete bezwaren profiteren direct van snellere beveiligingsdekking met minder herstarten — dat is precies waarvoor de functie is gebouwd.

Structureel: sneller patchen als beveiligingsstrategie

Hotpatching als standaard is geen geïsoleerde feature maar onderdeel van een bredere strategische verschuiving: de tijd tussen het beschikbaar komen van een patch en de actieve bescherming van endpoints zo kort mogelijk maken. In sectoren waar exploitatie van bekende kwetsbaarheden de meest gebruikte aanvalsvector is, is die tijdwinst direct van invloed op het risicoprofiel van de organisatie.

Tegelijkertijd legt de functie nieuwe eisen op aan de basisconfiguratie van endpoints. Wie HVCI nog niet heeft ingeschakeld, doet er goed aan dit nu aan te pakken — niet alleen voor hotpatching, maar ook omdat Memory Integrity een basisvereiste is voor moderne Windows-beveiliging zoals Credential Guard en Virtualization Based Security in het algemeen.

Wilt u ondersteuning bij het controleren van uw Intune- en Autopatch-configuratie, het inrichten van HVCI op uw apparaatfleet of het opzetten van rapportage rondom updatecompliance? Neem contact op met Zarioh voor een praktisch gesprek.

Was dit artikel nuttig?

Z

Zarioh Digital Solutions

IT-specialisten uit Utrecht. Wij helpen bedrijven door heel Nederland met Microsoft 365, AI agents, hosting en telefonie — en delen hier wekelijks wat we in de praktijk tegenkomen. Volg ons op LinkedIn

Nieuwsbrief

Laatste tech nieuws

Ontvang nieuwe artikelen direct in je inbox.

Geen spam. Afmelden kan altijd.

Lees ook

← Terug naar alle artikelen
Delen