Erstellen einer benutzerdefinierten Patch-Baseline für Windows Server - AWS Systems Manager

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Erstellen einer benutzerdefinierten Patch-Baseline für Windows Server

Gehen Sie wie folgt vor, um eine benutzerdefinierte Patch-Baseline für verwaltete Windows-Knoten in zu erstellen Patch Manager, eine Fähigkeit von AWS Systems Manager.

Informationen zum Erstellen einer Patch-Baseline für Linux-verwaltete Knoten finden Sie unter Erstellen einer benutzerdefinierten Patch-Baseline für Linux. Informationen zum Erstellen einer Patch-Baseline für macOS verwaltete Knoten finden Sie unterErstellen einer benutzerdefinierten Patch-Baseline für macOS.

Ein Beispiel für das Erstellen einer Patch-Baseline, die auf die Installation von Windows Service Packs eingeschränkt ist, finden Sie unter Tutorial: Erstellen Sie eine Patch-Baseline für die Installation von Windows Service Packs mithilfe der Konsole.

So erstellen Sie eine benutzerdefinierte Patch-Baseline (Windows)

  1. Öffnen Sie die AWS Systems Manager Konsole unter https://console.aws.amazon.com/systems-manager/.

  2. Wählen Sie im Navigationsbereich Patch Manager.

  3. Wählen Sie die Registerkarte Patch-Baselines und dann Patch-Baseline erstellen aus.

    –oder–

    Wenn Sie darauf zugreifen Patch Manager Wählen Sie zum ersten Mal in der aktuellen Version AWS-Region„Mit einer Übersicht beginnen“, dann die Registerkarte „Patch-Baselines“ und anschließend „Patch-Baseline erstellen“ aus.

  4. Geben Sie im Feld Name (Name) einen Namen für die neue Patch-Baseline ein, z. B. MyWindowsPatchBaseline.

  5. (Optional) Geben Sie im Feld Description (Beschreibung) eine Beschreibung für diese Patch-Baseline ein.

  6. Wählen Sie unter Operating system (Betriebssystem) die Option Windows aus.

  7. Wenn Sie diese Patch-Baseline direkt nach dem Erstellen als Standard für Windows verwenden möchten, wählen Sie Set this patch baseline as the default patch baseline for Windows Server instances (Diese Patch-Baseline als Standard-Patch-Baseline für Windows Server-Instances festlegen) aus.

    Anmerkung

    Diese Option ist nur verfügbar, wenn Sie zum ersten Mal darauf zugegriffen haben Patch Manager vor der Veröffentlichung der Patch-Richtlinien am 22. Dezember 2022.

    Weitere Informationen zum Festlegen einer vorhandenen Patch-Baseline als Standard finden Sie unter Festlegen einer vorhandenen Patch-Baseline als Standard.

  8. Erstellen Sie im Abschnitt Approval Rules for operating-systems (Genehmigungsregeln für Betriebssysteme) unter Verwendung der Felder ein oder mehrere automatische Genehmigungsregeln.

    • Produkte: Die Version der Betriebssysteme, auf die sich die Genehmigungsregel bezieht, z. B. WindowsServer2012. Die Standardauswahl ist All.

    • Classification (Klassifizierung): Der Typ der Patches, auf die sich die Genehmigungsregel bezieht, z. B. CriticalUpdates, Drivers und Tools. Die Standardauswahl ist All.

      Tipp

      Sie können Windows Service Pack-Installationen in die Genehmigungsregeln einschließen, indem Sie die ServicePacks einschließen oder All in der Liste Classification (Klassifizierung) auswählen. Ein Beispiel finden Sie unter Tutorial: Erstellen Sie eine Patch-Baseline für die Installation von Windows Service Packs mithilfe der Konsole.

    • Severity (Schweregrad): Der Schweregradwert von Patches, auf den die Regel anzuwenden ist, z. B. Critical. Die Standardauswahl ist All.

    • Auto-approval (Automatische Genehmigung): Die Methode zum Auswählen von Patches für die automatische Genehmigung.

      • Patches nach einer bestimmten Anzahl von Tagen genehmigen: Die Anzahl der Tage für Patch Manager um zu warten, bis ein Patch veröffentlicht oder aktualisiert wurde, bevor ein Patch automatisch genehmigt wird. Sie können jede Ganzzahl von Null (0) bis 360 eingeben. Für die meisten Szenarien empfehlen wir, nicht länger als 100 Tage zu warten.

      • Genehmigen Sie Patches, die bis zu einem bestimmten Datum veröffentlicht wurden: Das Patch-Veröffentlichungsdatum, für das Patch Manager wendet automatisch alle Patches an, die an oder vor diesem Datum veröffentlicht oder aktualisiert wurden. Wenn Sie beispielsweise den 07. Juli 2023 angeben, werden Patches, die am oder nach dem 08. Juli 2023 veröffentlicht oder zuletzt aktualisiert wurden, nicht automatisch installiert.

    • (Optional) Compliance-Bericht : Der Schweregrad, den Sie Patches zuweisen möchten, die von der Baseline genehmigt wurden (z. B. High).

      Anmerkung

      Wenn Sie eine Konformitätsberichtsstufe angeben und der Patch-Status eines genehmigten Patches als Missing gemeldet wird, dann entspricht der insgesamt gemeldete Konformitätsschweregrad der Patch-Baseline dem von Ihnen angegebenen Schweregrad.

  9. (Optional) Erstellen Sie im Abschnitt Approval Rules for applications (Genehmigungsregeln für Anwendungen) unter Verwendung der Felder ein oder mehrere automatische Genehmigungsregeln.

    Anmerkung

    Anstatt Genehmigungsregeln anzugeben, können Sie Listen genehmigter und abgelehnter Patches als Patch-Ausnahmen angeben. Siehe Schritte 10 und 11.

    • Product family (Produktfamilie): Die allgemeine Microsoft-Produktfamilie, für die Sie eine Regel festlegen möchten, z. B. Office oder Exchange Server.

    • Produkte: Die Version der Anwendung, auf die sich die Genehmigungsregel bezieht, z. B. Office 2016 oder Active Directory Rights Management Services Client 2.0 2016. Die Standardauswahl ist All.

    • Classification (Klassifikation): Der Typ der Patches, auf die sich die Genehmigungsregel bezieht, z. B. CriticalUpdates. Die Standardauswahl ist All.

    • Severity (Schweregrad): Der Schweregradwert von Patches, auf den die Regel anzuwenden ist, z. B. Critical. Die Standardauswahl ist All.

    • Auto-approval (Automatische Genehmigung): Die Methode zum Auswählen von Patches für die automatische Genehmigung.

      • Patches nach einer bestimmten Anzahl von Tagen genehmigen: Die Anzahl der Tage für Patch Manager um zu warten, bis ein Patch veröffentlicht oder aktualisiert wurde, bevor ein Patch automatisch genehmigt wird. Sie können jede Ganzzahl von Null (0) bis 360 eingeben. Für die meisten Szenarien empfehlen wir, nicht länger als 100 Tage zu warten.

      • Genehmigen Sie Patches, die bis zu einem bestimmten Datum veröffentlicht wurden: Das Patch-Veröffentlichungsdatum, für das Patch Manager wendet automatisch alle Patches an, die an oder vor diesem Datum veröffentlicht oder aktualisiert wurden. Wenn Sie beispielsweise den 07. Juli 2023 angeben, werden Patches, die am oder nach dem 08. Juli 2023 veröffentlicht oder zuletzt aktualisiert wurden, nicht automatisch installiert.

    • (Optional) Konformitätsbericht : Der Schweregrad, den Sie Patches zuweisen möchten, die von der Baseline genehmigt wurden (z. B. Critical oder High).

      Anmerkung

      Wenn Sie eine Konformitätsberichtsstufe angeben und der Patch-Status eines genehmigten Patches als Missing gemeldet wird, dann entspricht der insgesamt gemeldete Konformitätsschweregrad der Patch-Baseline dem von Ihnen angegebenen Schweregrad.

  10. (Optional) Wenn Sie Patches explizit genehmigen möchten, anstatt Patches gemäß Genehmigungsregeln auszuwählen, gehen Sie im Abschnitt Patch-Ausnahmen folgendermaßen vor:

    • Geben Sie im Feld Approved patches (Genehmigte Patches) eine durch Komma getrennte Liste der Patches ein, die Sie genehmigen möchten.

      Anmerkung

      Weitere Informationen zu akzeptierten Formaten für Listen genehmigter und abgelehnter Patches finden Sie unter Paketnamenformate für genehmigte und abgelehnte Patch-Listen.

    • (Optional) Weisen Sie in der Liste Approved patches compliance level (Compliance-Stufe genehmigter Patches) den Patches in der Liste eine Compliance-Stufe zu.

  11. Wenn Sie Patches ablehnen möchten, die ansonsten Ihren Genehmigungsregeln entsprechen, gehen Sie im Abschnitt Patch exceptions (Patch-Ausnahmen) wie folgt vor:

    • Geben Sie im Feld Rejected patches (Abgelehnte Patches) eine durch Komma getrennte Liste der Patches ein, die Sie ablehnen möchten.

      Anmerkung

      Weitere Informationen zu akzeptierten Formaten für Listen genehmigter und abgelehnter Patches finden Sie unter Paketnamenformate für genehmigte und abgelehnte Patch-Listen.

    • Wählen Sie unter Aktion „Abgelehnte Patches“ die Aktion für Patch Manager um Patches zu übernehmen, die in der Liste der abgelehnten Patches enthalten sind.

      • Als Abhängigkeit zulassen: Windows Server unterstützt das Konzept der Paketabhängigkeiten nicht. Wenn ein Paket in der Liste Abgelehnte Patches aufgeführt und bereits auf dem Knoten installiert ist, wird sein Status als gemeldetINSTALLED_OTHER. Jedes Paket, das noch nicht auf dem Knoten installiert ist, wird übersprungen.

      • Blockieren: Pakete in der Liste der abgelehnten Patches werden nicht installiert von Patch Manager unter allen Umständen. Wenn ein Paket installiert wurde, bevor es zur Liste der abgelehnten Patches hinzugefügt wurde, oder wenn es außerhalb von installiert wurde Patch Manager danach gilt es als nicht konform mit der Patch-Baseline und sein Status wird als gemeldet. INSTALLED_REJECTED

      Weitere Informationen zu Aktionen für abgelehnte Pakete finden Sie unter Optionen für die Liste abgelehnter Patches in benutzerdefinierten Patch-Baselines.

  12. (Optional) Wählen Sie für Manage tags (Tags verwalten) ein oder mehrere Tag-Schlüsselname/Wertpaare für die Patch-Baseline aus.

    Tags sind optionale Metadaten, die Sie einer Ressource zuweisen. Mithilfe von Tags können Sie eine Ressource unterschiedlich kategorisieren, beispielsweise nach Zweck, Besitzer oder Umgebung. Sie können beispielsweise eine Patch-Baseline kennzeichnen, um den Schweregrad der angegebenen Patches, die Betriebssystemfamilie, auf die sie sich bezieht, und den Umgebungstyp zu identifizieren. In diesem Fall können Sie etwa Tags mit den folgenden Schlüsselnamen/Wertpaaren angeben:

    • Key=PatchSeverity,Value=Critical

    • Key=OS,Value=RHEL

    • Key=Environment,Value=Production

  13. Wählen Sie die Option Create Patch Baseline.