Patch-Compliance-Werte für Debian Server, Raspberry Pi OS und Ubuntu Server Patch-Compliance-Werte für andere Betriebssysteme

Grundlegendes zu Patch-Compliance-Statuswerten

Zu den Informationen über Patches für einen verwalteten Knoten gehört ein Bericht über den Zustand oder den Status jedes einzelnen Patches.

Anmerkung

Wenn Sie einem verwalteten Knoten einen bestimmten Patch-Compliance-Status zuweisen möchten, können Sie den Befehl put-compliance-items AWS Command Line Interface (AWS CLI) oder die PutComplianceItemsAPI-Operation verwenden. Das Zuweisen eines Compliance-Zustands wird in der Konsole nicht unterstützt.

Verwenden Sie die Informationen in den folgenden Tabellen, um zu ermitteln, warum ein verwalteter Knoten möglicherweise nicht die Patch-Compliance erfüllt.

Patch-Compliance-Werte für Debian Server, Raspberry Pi OS und Ubuntu Server

Für Debian Server, Raspberry Pi OS und Ubuntu Server erläutert die folgende Tabelle die Regeln für die Paketklassifizierung in verschiedene Compliance-Zustände.

Anmerkung

Beachten Sie bei der Auswertung der Statuswerte Installiert, Installiert Andere und Fehlend Folgendes: Wenn Sie beim Erstellen oder Aktualisieren einer Patch-Baseline nicht die Checkbox Nicht sicherheitsrelevante Aktualisierungen einschließen aktivieren, sind Patch-Kandidaten-Versionen auf Patches beschränkt, die in trusty-security (Ubuntu Server 14.04 LTS), xenial-security (Ubuntu Server 16.04 LTS), bionic-security (Ubuntu Server 18.04 LTS), focal-security (Ubuntu Server 20.04 LTS), groovy-security (Ubuntu Server 20.10 STR), jammy-security (Ubuntu Server 22.04 LTS) oder debian-security (Debian Server and Raspberry Pi OS). enthalten sind. Wenn Sie die Option Nicht sicherheitsrelevante Aktualisierungen einschließen auswählen, werden auch Patches aus anderen Repositorys berücksichtigt.

Patch-Status	Beschreibung	Compliance status (Compliance-Status)
`INSTALLED`	Der Patch wird in der Patch-Baseline aufgeführt und ist auf dem verwalteten Knoten installiert. Er könnte entweder manuell von einer Person oder automatisch von Patch Manager installiert worden sein, wenn das `AWS-RunPatchBaseline`-Dokument auf dem verwalteten Knoten ausgeführt wurde.	Konform
`INSTALLED_OTHER`	Der Patch ist nicht in der Baseline enthalten oder wird von der Baseline nicht genehmigt, ist aber auf dem verwalteten Knoten installiert. Der Patch wurde möglicherweise manuell installiert, das Paket könnte eine erforderliche Abhängigkeit von einem anderen genehmigten Patch sein, oder der Patch war möglicherweise Teil eines InstallOverrideList Vorgangs. Wenn Sie `Block` nicht als die Zurückgewiesene Patches-Aktion angeben, schließt `Installed_Other` auch installiert, aber abgelehnte Patches ein.	Konform
`INSTALLED_PENDING_REBOOT`	`INSTALLED_PENDING_REBOOT`kann eines von zwei Dingen bedeuten: Der `Install`-Vorgang von Patch Manager hat den Patch zwar auf den verwalteten Knoten angewendet, aber der Knoten wurde seit dem Anwenden des Patches nicht mehr neu gestartet. Dies bedeutet in der Regel, dass für den Parameter `RebootOption` die Option `NoReboot` ausgewählt wurde, als das `AWS-RunPatchBaseline`-Dokument zuletzt auf dem verwalteten Knoten ausgeführt wurde. Weitere Informationen finden Sie unter Parametername: RebootOption. Patch ManagerSeit dem letzten Neustart des verwalteten Knotens wurde ein Patch außerhalb von installiert.	Nicht konform
`INSTALLED_REJECTED`	Der Patch wird auf dem verwalteten Knoten installiert, jedoch in einer Liste der Rejected patches (Abgelehnte Patches) angegeben. Dies bedeutet normalerweise, dass der Patch installiert wurde, bevor er einer Liste der abgelehnten Patches hinzugefügt wurde.	Nicht konform
`MISSING`	Pakete, die über die Baseline gefiltert und noch nicht installiert sind.	Nicht konform
`FAILED`	Pakete, die während des Patch-Vorgangs nicht installiert werden konnten.	Nicht konform

Patch-Compliance-Werte für andere Betriebssysteme

Für alle Betriebssysteme außer Debian Server, Raspberry Pi OS und Ubuntu Server erläutert die folgende Tabelle die Regeln für die Paketklassifizierung in verschiedene Compliance-Zustände.

Patch-Status	Beschreibung	Compliancewert
`INSTALLED`	Der Patch wird in der Patch-Baseline aufgeführt und ist auf dem verwalteten Knoten installiert. Er könnte entweder manuell von einer Person oder automatisch von Patch Manager installiert worden sein, als das `AWS-RunPatchBaseline`-Dokument auf dem Knoten ausgeführt wurde.	Konform
`INSTALLED_OTHER`¹	Der Patch befindet sich nicht an der Baseline, ist aber auf dem verwalteten Knoten installiert. Der Patch wurde möglicherweise manuell installiert, das Paket könnte eine erforderliche Abhängigkeit von einem anderen genehmigten Patch sein. Wenn Sie `Block` nicht als die Zurückgewiesene Patches-Aktion angeben, schließt `Installed_Other` auch installiert, aber abgelehnte Patches ein.	Konform
`INSTALLED_REJECTED`	Der Patch wird auf dem verwalteten Knoten installiert, jedoch in einer Liste der abgelehnten Patches angegeben. Dies bedeutet normalerweise, dass der Patch installiert wurde, bevor er einer Liste der abgelehnten Patches hinzugefügt wurde.	Nicht konform
`INSTALLED_PENDING_REBOOT`	`INSTALLED_PENDING_REBOOT`kann eines von zwei Dingen bedeuten: Der `Install`-Vorgang von Patch Manager hat den Patch zwar auf den verwalteten Knoten angewendet, aber der Knoten wurde seit dem Anwenden des Patches nicht mehr neu gestartet. Dies bedeutet in der Regel, dass für den Parameter `RebootOption` die Option `NoReboot` ausgewählt wurde, als das `AWS-RunPatchBaseline`-Dokument zuletzt auf dem verwalteten Knoten ausgeführt wurde. Weitere Informationen finden Sie unter Parametername: RebootOption. Patch ManagerSeit dem letzten Neustart des verwalteten Knotens wurde ein Patch außerhalb von installiert.	Nicht konform
`MISSING`	Der Patch wurde in der Baseline genehmigt, aber nicht auf dem verwalteten Knoten installiert. Wenn Sie die `AWS-RunPatchBaseline`-Dokumentaufgabe zum Scannen (nicht Installieren) konfigurieren, meldet das System diesen Status bei Patches, die beim Scan gefunden wurden, aber noch nicht installiert sind.	Nicht konform
`NOT_APPLICABLE`¹	Der Patch wurde in der Baseline genehmigt, der Service oder dem Feature, die den Patch verwendet, wurde aber auf dem verwalteten Knoten nicht installiert. Beispielsweise würde ein Patch für einen Webserver-Service wie Internet Information Services (IIS) `NOT_APPLICABLE` anzeigen, wenn er in der Baseline genehmigt wurde, der Webservice jedoch nicht auf dem verwalteten Knoten installiert ist. Ein Patch kann auch als `NOT_APPLICABLE` markiert sein, wenn er durch ein nachfolgendes Update ersetzt wurde. Dies bedeutet, dass das spätere Update installiert ist und das `NOT_APPLICABLE`-Update nicht mehr benötigt wird. Anmerkung Dieser Compliance-Status wird nur auf Windows Server-Betriebssystemen gemeldet.	Nicht zutreffend
`FAILED`	Der Patch wurde an der Baseline genehmigt, konnte aber nicht installiert werden. Zum Beheben dieses Problems überprüfen Sie die Befehlsausgabe auf Informationen, die Ihnen helfen, das Problem zu verstehen.	Nicht konform

¹ Für Patches mit dem Status INSTALLED_OTHER und NOT_APPLICABLE, lässt Patch Manager einige Daten aus Abfrageergebnissen aus, die auf dem Befehl describe-instance-patches basieren, z. B. die Werte für Classification und Severity. Dadurch soll verhindert werden, dass das Datenlimit für einzelne Knoten im Inventar überschritten wird, eine Fähigkeit von. AWS Systems Manager Um alle Patch-Details anzuzeigen, können Sie den Befehl describe-available-patches nutzen.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Identifizieren von nicht konformen verwalteten Knoten

Patchen nicht konformer verwalteter Knoten