• Das AWS Systems Manager CloudWatch Dashboard wird nach dem 30. April 2026 nicht mehr verfügbar sein. Kunden können weiterhin die CloudWatch Amazon-Konsole verwenden, um ihre CloudWatch Amazon-Dashboards anzusehen, zu erstellen und zu verwalten, so wie sie es heute tun. Weitere Informationen finden Sie in der [Amazon CloudWatch Dashboard-Dokumentation](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html). 

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Arbeiten mit benutzerdefinierten Patch-Baselines
<a name="patch-manager-manage-patch-baselines"></a>

Patch Manager, ein Tool in AWS Systems Manager, enthält eine vordefinierte Patch-Baseline für jedes Betriebssystem, das von unterstützt wirdPatch Manager. Sie können diese Patch-Baselines verwenden (Sie können sie jedoch nicht anpassen) oder Sie können eine eigene Patch-Baseline erstellen. 

In den folgenden Verfahren wird beschrieben, wie Sie eigene benutzerdefinierte Patch-Baselines erstellen, aktualisieren und löschen. Weitere Informationen zu Patch-Baselines finden Sie unter [Vordefinierte und benutzerdefinierte Patch-Baselines](patch-manager-predefined-and-custom-patch-baselines.md).

**Topics**
+ [So erstellen Sie eine benutzerdefinierte Patch-Baseline für Linux](patch-manager-create-a-patch-baseline-for-linux.md)
+ [Erstellen einer benutzerdefinierten Patch-Baseline für macOS](patch-manager-create-a-patch-baseline-for-macos.md)
+ [Erstellen einer benutzerdefinierten Patch-Baseline für Windows Server](patch-manager-create-a-patch-baseline-for-windows.md)
+ [Aktualisieren oder Löschen einer benutzerdefinierten Patch-Baseline](patch-manager-update-or-delete-a-patch-baseline.md)

# So erstellen Sie eine benutzerdefinierte Patch-Baseline für Linux
<a name="patch-manager-create-a-patch-baseline-for-linux"></a>

Verwenden Sie das folgende Verfahren, um eine benutzerdefinierte Patch-Baseline für Linux-verwaltete Knoten in Patch Manager, einem Tool in AWS Systems Manager, zu erstellen. 

Informationen zum Erstellen einer Patch-Baseline für macOS-verwaltete Knoten finden Sie unter [Erstellen einer benutzerdefinierten Patch-Baseline für macOS](patch-manager-create-a-patch-baseline-for-macos.md). Informationen zum Erstellen einer Patch-Baseline für Windows-verwaltete Knoten finden Sie unter [Erstellen einer benutzerdefinierten Patch-Baseline für Windows Server](patch-manager-create-a-patch-baseline-for-windows.md).

**So erstellen Sie eine benutzerdefinierte Patch-Baseline für Linux-verwaltete Knoten**

1. Öffnen Sie die AWS Systems Manager Konsole unter [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Wählen Sie im Navigationsbereich **Patch Manager** aus.

1. Wählen Sie die Registerkarte **Patch-Baselines** und dann **Patch-Baseline erstellen** aus.

   –oder–

   Wenn Sie in der aktuellen AWS-Region zum ersten Mal auf Patch Manager zugreifen, wählen Sie **Mit einer Übersicht beginnen**, wechseln Sie zur Registerkarte **Patch-Baselines** und wählen Sie dann **Patch-Baseline** erstellen.

1. Geben Sie im Feld **Name** einen Namen für die neue Patch-Baseline ein, z. B. `MyRHELPatchBaseline`.

1. (Optional) Geben Sie im Feld **Beschreibung** eine Beschreibung für diese Patch-Baseline ein.

1. Wählen Sie unter **Operating system (Betriebssystem)** ein Betriebssystem aus, z. B. `Red Hat Enterprise Linux`.

1. Wenn Sie diese Patch-Baseline sofort nach der Erstellung als Standard für das ausgewählte Betriebssystem verwenden möchten, aktivieren Sie das Kontrollkästchen neben **Diese Patch-Baseline als Standard-Patch-Baseline für *operating system name* Instances festlegen**.
**Anmerkung**  
Diese Option ist nur verfügbar, wenn Sie vor der Veröffentlichung der [Patch-Richtlinien](patch-manager-policies.md) am 22. Dezember 2022 zum ersten Mal auf Patch Manager zugegriffen haben.  
Weitere Informationen zum Festlegen einer vorhandenen Patch-Baseline als Standard finden Sie unter [Festlegen einer vorhandenen Patch-Baseline als Standard](patch-manager-default-patch-baseline.md).

1. Erstellen Sie im Abschnitt **Genehmigungsregeln für Betriebssysteme** unter Verwendung der Felder ein oder mehrere automatische Genehmigungsregeln.
   + **Produkte**: Die Version der Betriebssysteme, auf die sich die Genehmigungsregel bezieht, z. B. `RedhatEnterpriseLinux7.4`. Die Standardauswahl ist `All`.
   + **Classification (Klassifizierung)**: Der Typ der Patches, auf die sich die Genehmigungsregel bezieht, z. B. `Security` oder `Enhancement`. Die Standardauswahl ist `All`. 
**Tipp**  
Sie können eine Patch-Baseline konfigurieren, um zu steuern, ob Nebenversions-Upgrades für Linux installiert werden, z. B. RHEL 7.8. Nebenversionsupgrades können vom Patch Manager automatisch installiert werden, wenn das Update im entsprechenden Repository verfügbar ist.  
Im Fall von Linux-Betriebssystemen werden Nebenversionsupgrades nicht konsistent klassifiziert. Sie können als Fehlerbehebungen oder Sicherheitsupdates klassifiziert (oder nicht klassifiziert) werden, selbst innerhalb derselben Kernel-Version. Im Folgenden werden einige Optionen aufgelistet, mit denen Sie steuern können, ob sie von einer Patch-Baseline installiert werden.   
**Option 1**: Die umfassendste Genehmigungsregel, die sicherzustellt, dass Nebenversionsupgrades installiert werden, wenn verfügbar, besteht in der Angabe von **Classification (Klassifizierung)** als `All` (\$1) und der Auswahl der Option **Include nonsecurity updates (Auch andere Updates als Sicherheitsupdates einschließen)**.
**Option 2**: Um die Installation von Patches für eine Betriebssystemversion sicherzustellen, können Sie ein Platzhalterzeichen (\$1) verwenden, um das Kernel-Format im Abschnitt **Patch exceptions (Patch-Ausnahmen)** der Baseline anzugeben. Zum Beispiel ist das Kernel-Format für RHEL 7.\$1 `kernel-3.10.0-*.el7.x86_64`.  
Geben Sie `kernel-3.10.0-*.el7.x86_64` in der Liste **Approved patches** (Genehmigte Patches) in Ihrer Patch-Baseline ein, um die Anwendung aller Patches einschließlich Nebenversionsupgrades auf Ihren von RHEL 7.\$1 verwalteten Knoten sicherzustellen. (Wenn Sie den genauen Paketnamen eines Nebenversionspatches kennen, können Sie diesen stattdessen eingeben.)
**Option 3**: Mithilfe des [InstallOverrideList](patch-manager-aws-runpatchbaseline.md#patch-manager-aws-runpatchbaseline-parameters-installoverridelist)Parameters im `AWS-RunPatchBaseline` Dokument haben Sie die größtmögliche Kontrolle darüber, welche Patches auf Ihre verwalteten Knoten angewendet werden, einschließlich kleinerer Versions-Upgrades. Weitere Informationen finden Sie unter [SSM-Befehlsdokument zum Patchen: `AWS-RunPatchBaseline`](patch-manager-aws-runpatchbaseline.md).
   + **Schweregrad**: Der Schweregradwert von Patches, auf den die Regel anzuwenden ist, z. B. `Critical`. Die Standardauswahl ist `All`. 
   + **Automatische Genehmigung**: Die Methode zum Auswählen von Patches für die automatische Genehmigung.
**Anmerkung**  
Da es nicht möglich ist, die Veröffentlichungsdaten von Updatepaketen für Ubuntu Server zuverlässig zu bestimmen, werden die Optionen für die automatische Genehmigung für dieses Betriebssystem nicht unterstützt.
     + **Approve patches after a specified number of days** (Patches nach einer bestimmten Anzahl von Tagen genehmigen): Die Anzahl der Tage, die der Patch Manager warten muss, nachdem ein Patch veröffentlicht oder zuletzt aktualisiert wurde, bevor ein Patch automatisch genehmigt wird. Sie können jede Ganzzahl von Null (0) bis 360 eingeben. Für die meisten Szenarien empfehlen wir, nicht länger als 100 Tage zu warten.
     + **Patches genehmigen, die bis zu einem bestimmten Datum veröffentlicht wurden**: Das Datum der Patch-Veröffentlichung, an dem der Patch Manager automatisch alle Patches anwendet, die bis zu diesem Datum veröffentlicht oder aktualisiert wurden. Wenn Sie beispielsweise den 7. Juli 2023 angeben, werden Patches, die am oder nach dem 8. Juli 2023 veröffentlicht oder zuletzt aktualisiert wurden, nicht automatisch installiert.
   + (Optional) **Konformitätsbericht **: Der Schweregrad, den Sie Patches zuweisen möchten, die von der Baseline genehmigt wurden (z. B. `Critical` oder `High`).
**Anmerkung**  
Wenn Sie eine Konformitätsberichtsstufe angeben und der Patch-Status eines genehmigten Patches als `Missing` gemeldet wird, dann entspricht der insgesamt gemeldete Konformitätsschweregrad der Patch-Baseline dem von Ihnen angegebenen Schweregrad.
   + **Include non-security updates (Nicht sicherheitsrelevante Updates einbeziehen)**: Aktivieren Sie das Kontrollkästchen zum Installieren von nicht sicherheitsrelevanten Linux-Betriebssystem-Patches, die im Quell-Repository verfügbar gemacht wurden, zusätzlich zu den sicherheitsrelevanten Patches. 

   Weitere Informationen zum Arbeiten mit Genehmigungsregeln in einer benutzerdefinierten Patch-Baseline finden Sie unter [Benutzerdefinierte Baselines](patch-manager-predefined-and-custom-patch-baselines.md#patch-manager-baselines-custom).

1. Wenn Sie zusätzlich zu den Patches, die Ihren Genehmigungsregeln entsprechen, alle Patches ausdrücklich genehmigen möchten, gehen Sie im Abschnitt **Patch-Ausnahmen** wie folgt vor:
   + Geben Sie im Feld **Genehmigte Patches** eine durch Komma getrennte Liste der Patches ein, die Sie genehmigen möchten.

     Weitere Informationen zu akzeptierten Formaten für Listen genehmigter und abgelehnter Patches finden Sie unter [Paketnamen-Formate für genehmigte und abgelehnte Patch-Listen](patch-manager-approved-rejected-package-name-formats.md).
   + (Optional) Weisen Sie in der Liste **Compliance-Stufe genehmigter Patches** den Patches in der Liste eine Compliance-Stufe zu.
   + Wenn genehmigte Patches, die Sie angeben, nicht sicherheitsbezogen sind, wählen Sie das Kästchen **Genehmigte Patches umfassen nicht sicherheitsrelevante Updates** aus, damit diese Patches ebenfalls auf Ihrem Linux-Betriebssystem installiert werden.

1. Wenn Sie Patches ablehnen möchten, die ansonsten Ihren Genehmigungsregeln entsprechen, gehen Sie im Abschnitt **Patch-Ausnahmen** wie folgt vor:
   + Geben Sie im Feld **Abgelehnte Patches** eine durch Komma getrennte Liste der Patches ein, die Sie ablehnen möchten.

     Weitere Informationen zu akzeptierten Formaten für Listen genehmigter und abgelehnter Patches finden Sie unter [Paketnamen-Formate für genehmigte und abgelehnte Patch-Listen](patch-manager-approved-rejected-package-name-formats.md).
   + Wählen Sie in der Liste **Aktion für abgelehnte Patches** die Aktion aus, die Patch Manager für Patches in der Liste **Abgelehnte Patches** ausführen soll.
     + **Als Abhängigkeit zulassen**: Ein Paket in der Liste **Abgelehnte Patches** wird nur installiert, wenn es sich um eine Abhängigkeit eines anderen Pakets handelt. Es gilt als konform mit der Patch-Baseline und sein Status wird als gemeldet *InstalledOther*. Dies ist die Standardaktion, wenn keine Option ausgewählt ist.
     + **Blockieren**: Pakete in der Liste **Abgelehnte Patches** und Pakete, die diese als Abhängigkeiten enthalten, werden unter keinen Umständen von Patch Manager installiert. Wenn ein Paket installiert wurde, bevor es zur Liste der **abgelehnten Patches** hinzugefügt wurde, oder danach außerhalb von Patch Manager installiert wird, gilt es als nicht konform mit der Patch-Baseline und sein Status wird als *InstalledRejected* gemeldet.
**Anmerkung**  
Patch Manager sucht rekursiv nach Patch-Abhängigkeiten.

1. **(Optional) Wenn Sie alternative Patch-Repositorys für verschiedene Versionen eines Betriebssystems angeben möchten, z. B. *AmazonLinux2016.03 und *AmazonLinux2017.09**, gehen Sie für jedes Produkt im Abschnitt Patch-Quellen wie folgt vor:**
   + Geben Sie in **Name (Name)** einen Namen ein, um Sie bei der Identifizierung der Quellkonfiguration zu unterstützen.
   + Wählen Sie unter **Product (Produkt)** die Version der Betriebssysteme aus, für die das Patch-Quell-Repository bestimmt ist, z. B. `RedhatEnterpriseLinux7.4`.
   + Geben Sie unter **Konfiguration** den Wert der zu verwendenden Repository-Konfiguration im entsprechenden Format ein:

------
#### [  Example for yum repositories  ]

     ```
     [main]
     name=MyCustomRepository
     baseurl=https://my-custom-repository
     enabled=1
     ```

**Tipp**  
Informationen zu anderen Optionen für Ihre Yum-Repository-Konfiguration finden Sie unter [dnf.conf (5)](https://man7.org/linux/man-pages/man5/dnf.conf.5.html).

------
#### [  Examples for Ubuntu Server and Debian Server ]

      `deb http://security.ubuntu.com/ubuntu jammy main` 

      `deb https://site.example.com/debian distribution component1 component2 component3` 

     Repository-Informationen für Ubuntu Server-Repositorys müssen in einer einzigen Zeile angegeben werden. Weitere Beispiele und Informationen finden Sie unter [jammy (5) sources.list.5.gz](https://manpages.ubuntu.com/manpages/jammy/man5/sources.list.5.html) auf der Website *Ubuntu Server Manuals* und unter [sources.list-Format](https://wiki.debian.org/SourcesList#sources.list_format) im *Debian-Wiki*.

------

     Wählen Sie **Add another source** aus, um ein Quell-Repository für jede zusätzliche Betriebssystemversion anzugeben, bis maximal 20.

     Weitere Informationen über alternative Quell-Patch-Repositorys finden Sie unter [So geben Sie ein alternatives Patch-Quell-Repository an (Linux)](patch-manager-alternative-source-repository.md).

1. (Optional) Wenden Sie unter **Tags verwalten** ein oder mehrere name/value Tag-Schlüsselpaare auf die Patch-Baseline an.

   Tags sind optionale Metadaten, die Sie einer Ressource zuweisen. Mithilfe von Tags können Sie eine Ressource unterschiedlich kategorisieren, beispielsweise nach Zweck, Besitzer oder Umgebung. Sie können beispielsweise eine Patch-Baseline kennzeichnen, um den Schweregrad der angegebenen Patches, die Betriebssystemfamilie, auf die sie sich bezieht, und den Umgebungstyp zu identifizieren. In diesem Fall könnten Sie Tags angeben, die den folgenden name/value Schlüsselpaaren ähneln:
   + `Key=PatchSeverity,Value=Critical`
   + `Key=OS,Value=RHEL`
   + `Key=Environment,Value=Production`

1. Wählen Sie die Option **Patch-Baseline erstellen**.

# Erstellen einer benutzerdefinierten Patch-Baseline für macOS
<a name="patch-manager-create-a-patch-baseline-for-macos"></a>

Verwenden Sie das folgende Verfahren, um eine benutzerdefinierte Patch-Baseline für macOS-verwaltete Knoten in Patch Manager zu erstellen, einem Tool in AWS Systems Manager. 

Informationen zum Erstellen einer Patch-Baseline für Windows Server-verwaltete Knoten finden Sie unter [Erstellen einer benutzerdefinierten Patch-Baseline für Windows Server](patch-manager-create-a-patch-baseline-for-windows.md). Informationen zum Erstellen einer Patch-Baseline für Linux-verwaltete Knoten finden Sie unter [So erstellen Sie eine benutzerdefinierte Patch-Baseline für Linux](patch-manager-create-a-patch-baseline-for-linux.md). 

**Anmerkung**  
macOSwird nicht in allen unterstützt AWS-Regionen. Weitere Informationen zur Amazon-EC2-Unterstützung für macOS finden Sie unter [Amazon-EC2-Mac-Instances](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-mac-instances.html) im *Amazon-EC2-Benutzerhandbuch*.

**So erstellen Sie eine benutzerdefinierte Patch-Baseline für macOS-verwaltete Knoten**

1. Öffnen Sie die AWS Systems Manager Konsole unter [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Wählen Sie im Navigationsbereich **Patch Manager** aus.

1. Wählen Sie die Registerkarte **Patch-Baselines** und dann **Patch-Baseline erstellen** aus.

   –oder–

   Wenn Sie in der aktuellen AWS-Region zum ersten Mal auf Patch Manager zugreifen, wählen Sie **Mit einer Übersicht beginnen**, wechseln Sie zur Registerkarte **Patch-Baselines** und wählen Sie dann **Patch-Baseline** erstellen.

1. Geben Sie im Feld **Name** einen Namen für die neue Patch-Baseline ein, z. B. `MymacOSPatchBaseline`.

1. (Optional) Geben Sie im Feld **Beschreibung** eine Beschreibung für diese Patch-Baseline ein.

1. Wählen Sie unter **Betriebssystem** die Option macOS aus.

1. Wenn Sie die Patch-Baseline direkt nach dem Erstellen als Standard für macOS verwenden möchten, aktivieren Sie das Kontrollkästchen **Set this patch baseline as the default patch baseline for macOS instances (Diese Patch-Baseline als Standard-Patch-Baseline für macOs-Instances festlegen)**.
**Anmerkung**  
Diese Option ist nur verfügbar, wenn Sie vor der Veröffentlichung der [Patch-Richtlinien](patch-manager-policies.md) am 22. Dezember 2022 zum ersten Mal auf Patch Manager zugegriffen haben.  
Weitere Informationen zum Festlegen einer vorhandenen Patch-Baseline als Standard finden Sie unter [Festlegen einer vorhandenen Patch-Baseline als Standard](patch-manager-default-patch-baseline.md).

1. Erstellen Sie im Abschnitt **Genehmigungsregeln für Betriebssysteme** unter Verwendung der Felder ein oder mehrere automatische Genehmigungsregeln.
   + **Produkte**: Die Version der Betriebssysteme, auf die sich die Genehmigungsregel bezieht, z. B. `BigSur11.3.1` oder `Ventura13.7`. Die Standardauswahl ist `All`.
   + **Klassifizierung**: Der oder die Paketmanager, auf den/die während des Patchvorgangs Pakete angewendet werden sollen. Sie können aus den folgenden Optionen auswählen:
     + softwareupdate
     + installer
     + brew
     + brew cask

     Die Standardauswahl ist `All`. 
   + (Optional) **Konformitätsbericht **: Der Schweregrad, den Sie Patches zuweisen möchten, die von der Baseline genehmigt wurden (z. B. `Critical` oder `High`).
**Anmerkung**  
Wenn Sie eine Konformitätsberichtsstufe angeben und der Patch-Status eines genehmigten Patches als `Missing` gemeldet wird, dann entspricht der insgesamt gemeldete Konformitätsschweregrad der Patch-Baseline dem von Ihnen angegebenen Schweregrad.

   Weitere Informationen zum Arbeiten mit Genehmigungsregeln in einer benutzerdefinierten Patch-Baseline finden Sie unter [Benutzerdefinierte Baselines](patch-manager-predefined-and-custom-patch-baselines.md#patch-manager-baselines-custom).

1. Wenn Sie zusätzlich zu den Patches, die Ihren Genehmigungsregeln entsprechen, alle Patches ausdrücklich genehmigen möchten, gehen Sie im Abschnitt **Patch-Ausnahmen** wie folgt vor:
   + Geben Sie im Feld **Genehmigte Patches** eine durch Komma getrennte Liste der Patches ein, die Sie genehmigen möchten.

     Weitere Informationen zu akzeptierten Formaten für Listen genehmigter und abgelehnter Patches finden Sie unter [Paketnamen-Formate für genehmigte und abgelehnte Patch-Listen](patch-manager-approved-rejected-package-name-formats.md).
   + (Optional) Weisen Sie in der Liste **Compliance-Stufe genehmigter Patches** den Patches in der Liste eine Compliance-Stufe zu.

1. Wenn Sie Patches ablehnen möchten, die ansonsten Ihren Genehmigungsregeln entsprechen, gehen Sie im Abschnitt **Patch-Ausnahmen** wie folgt vor:
   + Geben Sie im Feld **Abgelehnte Patches** eine durch Komma getrennte Liste der Patches ein, die Sie ablehnen möchten.

     Weitere Informationen zu akzeptierten Formaten für Listen genehmigter und abgelehnter Patches finden Sie unter [Paketnamen-Formate für genehmigte und abgelehnte Patch-Listen](patch-manager-approved-rejected-package-name-formats.md).
   + Wählen Sie in der Liste **Aktion für abgelehnte Patches** die Aktion aus, die Patch Manager für Patches in der Liste **Abgelehnte Patches** ausführen soll.
     + **Als Abhängigkeit zulassen**: Ein Paket in der Liste **Abgelehnte Patches** wird nur installiert, wenn es sich um eine Abhängigkeit eines anderen Pakets handelt. Es gilt als konform mit der Patch-Baseline und sein Status wird als gemeldet *InstalledOther*. Dies ist die Standardaktion, wenn keine Option ausgewählt ist.
     + **Blockieren**: Pakete in der Liste **Abgelehnte Patches** und Pakete, die diese als Abhängigkeiten enthalten, werden unter keinen Umständen von Patch Manager installiert. Wenn ein Paket installiert wurde, bevor es zur Liste der **abgelehnten Patches** hinzugefügt wurde, oder danach außerhalb von Patch Manager installiert wird, gilt es als nicht konform mit der Patch-Baseline und sein Status wird als *InstalledRejected* gemeldet.

1. (Optional) Wenden **Sie unter Tags verwalten** ein oder mehrere name/value Tag-Schlüsselpaare auf die Patch-Baseline an.

   Tags sind optionale Metadaten, die Sie einer Ressource zuweisen. Mithilfe von Tags können Sie eine Ressource unterschiedlich kategorisieren, beispielsweise nach Zweck, Besitzer oder Umgebung. Sie können beispielsweise eine Patch-Baseline kennzeichnen, um den Schweregrad der angegebenen Patches, den Paketmanager, auf den sie sich bezieht, und den Umgebungstyp zu identifizieren. In diesem Fall könnten Sie Tags angeben, die den folgenden name/value Schlüsselpaaren ähneln:
   + `Key=PatchSeverity,Value=Critical`
   + `Key=PackageManager,Value=softwareupdate`
   + `Key=Environment,Value=Production`

1. Wählen Sie die Option **Patch-Baseline erstellen**.

# Erstellen einer benutzerdefinierten Patch-Baseline für Windows Server
<a name="patch-manager-create-a-patch-baseline-for-windows"></a>

Verwenden Sie das folgende Verfahren, um eine benutzerdefinierte Patch-Baseline für Windows-verwaltete Knoten in Patch Manager zu erstellen, einem Tool in AWS Systems Manager. 

Informationen zum Erstellen einer Patch-Baseline für Linux-verwaltete Knoten finden Sie unter [So erstellen Sie eine benutzerdefinierte Patch-Baseline für Linux](patch-manager-create-a-patch-baseline-for-linux.md). Informationen zum Erstellen einer Patch-Baseline für macOS-verwaltete Knoten finden Sie unter [Erstellen einer benutzerdefinierten Patch-Baseline für macOS](patch-manager-create-a-patch-baseline-for-macos.md).

Ein Beispiel für das Erstellen einer Patch-Baseline, die auf die Installation von Windows Service Packs eingeschränkt ist, finden Sie unter [So erstellen Sie eine Patch-Baseline für die Installation von Windows Service Packs mithilfe der Konsole](patch-manager-windows-service-pack-patch-baseline-tutorial.md).

**So erstellen Sie eine benutzerdefinierte Patch-Baseline (Windows)**

1. Öffnen Sie die AWS Systems Manager Konsole unter [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Wählen Sie im Navigationsbereich **Patch Manager** aus.

1. Wählen Sie die Registerkarte **Patch-Baselines** und dann **Patch-Baseline erstellen** aus. 

   –oder–

   Wenn Sie in der aktuellen AWS-Region zum ersten Mal auf Patch Manager zugreifen, wählen Sie **Mit einer Übersicht beginnen**, wechseln Sie zur Registerkarte **Patch-Baselines** und wählen Sie dann **Patch-Baseline** erstellen.

1. Geben Sie im Feld **Name** einen Namen für die neue Patch-Baseline ein, z. B. `MyWindowsPatchBaseline`.

1. (Optional) Geben Sie im Feld **Beschreibung** eine Beschreibung für diese Patch-Baseline ein.

1. Wählen Sie unter **Betriebssystem** die Option `Windows` aus.

1. Wählen Sie unter **Compliance-Status für verfügbare Sicherheitsupdates** den Status aus, den Sie Sicherheitspatches zuweisen möchten, die zwar verfügbar, aber nicht genehmigt sind, weil sie die in der Patch-Baseline angegebenen Installationskriterien (**Nicht konform** oder **Konform**) nicht erfüllen.

   Beispielszenario: Sicherheitspatches, die Sie möglicherweise installieren möchten, können übersprungen werden, wenn Sie eine lange Wartezeit für die Installation nach der Veröffentlichung eines Patches angegeben haben. Wenn während der von Ihnen angegebenen Wartezeit ein Update für den Patch veröffentlicht wird, beginnt die Wartezeit für die Installation des Patches von vorne. Wenn die Wartezeit zu lang ist, können mehrere Versionen des Patches veröffentlicht, aber nie installiert werden.

1. Wenn Sie diese Patch-Baseline direkt nach dem Erstellen als Standard für Windows verwenden möchten, wählen Sie **Set this patch baseline as the default patch baseline for Windows Server instances (Diese Patch-Baseline als Standard-Patch-Baseline für Windows Server-Instances festlegen)** aus.
**Anmerkung**  
Diese Option ist nur verfügbar, wenn Sie vor der Veröffentlichung der [Patch-Richtlinien](patch-manager-policies.md) am 22. Dezember 2022 zum ersten Mal auf Patch Manager zugegriffen haben.  
Weitere Informationen zum Festlegen einer vorhandenen Patch-Baseline als Standard finden Sie unter [Festlegen einer vorhandenen Patch-Baseline als Standard](patch-manager-default-patch-baseline.md).

1. Erstellen Sie im Abschnitt **Approval Rules for operating-systems (Genehmigungsregeln für Betriebssysteme)** unter Verwendung der Felder ein oder mehrere automatische Genehmigungsregeln.
   + **Produkte**: Die Version der Betriebssysteme, auf die sich die Genehmigungsregel bezieht, z. B. `WindowsServer2012`. Die Standardauswahl ist `All`.
   + **Classification (Klassifizierung)**: Der Typ der Patches, auf die sich die Genehmigungsregel bezieht, z. B. `CriticalUpdates`, `Drivers` und `Tools`. Die Standardauswahl ist `All`. 
**Tipp**  
Sie können Windows Service Pack-Installationen in die Genehmigungsregeln einschließen, indem Sie die `ServicePacks` einschließen oder `All` in der Liste **Classification (Klassifizierung)** auswählen. Ein Beispiel finden Sie unter [So erstellen Sie eine Patch-Baseline für die Installation von Windows Service Packs mithilfe der Konsole](patch-manager-windows-service-pack-patch-baseline-tutorial.md).
   + **Schweregrad**: Der Schweregradwert von Patches, auf den die Regel anzuwenden ist, z. B. `Critical`. Die Standardauswahl ist `All`. 
   + **Automatische Genehmigung**: Die Methode zum Auswählen von Patches für die automatische Genehmigung.
     + **Patches nach einer bestimmten Anzahl von Tagen genehmigen**: Die Anzahl der Tage, die der Patch Manager warten muss, nachdem ein Patch veröffentlicht oder aktualisiert wurde, bevor ein Patch automatisch genehmigt wird. Sie können jede Ganzzahl von Null (0) bis 360 eingeben. Für die meisten Szenarien empfehlen wir, nicht länger als 100 Tage zu warten.
     + **Patches genehmigen, die bis zu einem bestimmten Datum veröffentlicht wurden**: Das Datum der Patch-Veröffentlichung, an dem der Patch Manager automatisch alle Patches anwendet, die bis zu diesem Datum veröffentlicht oder aktualisiert wurden. Wenn Sie beispielsweise den 07. Juli 2023 angeben, werden Patches, die am oder nach dem 08. Juli 2023 veröffentlicht oder zuletzt aktualisiert wurden, nicht automatisch installiert.
   + (Optional) **Compliance-Bericht **: Der Schweregrad, den Sie Patches zuweisen möchten, die von der Baseline genehmigt wurden (z. B. `High`).
**Anmerkung**  
Wenn Sie eine Konformitätsberichtsstufe angeben und der Patch-Status eines genehmigten Patches als `Missing` gemeldet wird, dann entspricht der insgesamt gemeldete Konformitätsschweregrad der Patch-Baseline dem von Ihnen angegebenen Schweregrad.

1. (Optional) Erstellen Sie im Abschnitt **Approval Rules for applications (Genehmigungsregeln für Anwendungen)** unter Verwendung der Felder ein oder mehrere automatische Genehmigungsregeln.
**Anmerkung**  
Anstatt Genehmigungsregeln anzugeben, können Sie Listen genehmigter und abgelehnter Patches als Patch-Ausnahmen angeben. Siehe Schritte 10 und 11. 
   + **Product family (Produktfamilie)**: Die allgemeine Microsoft-Produktfamilie, für die Sie eine Regel festlegen möchten, z. B. `Office` oder `Exchange Server`.
   + **Produkte**: Die Version der Anwendung, auf die sich die Genehmigungsregel bezieht, z. B. `Office 2016` oder `Active Directory Rights Management Services Client 2.0 2016`. Die Standardauswahl ist `All`.
   + **Classification (Klassifikation)**: Der Typ der Patches, auf die sich die Genehmigungsregel bezieht, z. B. `CriticalUpdates`. Die Standardauswahl ist `All`. 
   + **Severity (Schweregrad)**: Der Schweregradwert von Patches, auf den die Regel anzuwenden ist, z. B. `Critical`. Die Standardauswahl ist `All`. 
   + **Automatische Genehmigung**: Die Methode zum Auswählen von Patches für die automatische Genehmigung.
     + **Patches nach einer bestimmten Anzahl von Tagen genehmigen**: Die Anzahl der Tage, die der Patch Manager warten muss, nachdem ein Patch veröffentlicht oder aktualisiert wurde, bevor ein Patch automatisch genehmigt wird. Sie können jede Ganzzahl von Null (0) bis 360 eingeben. Für die meisten Szenarien empfehlen wir, nicht länger als 100 Tage zu warten.
     + **Patches genehmigen, die bis zu einem bestimmten Datum veröffentlicht wurden**: Das Datum der Patch-Veröffentlichung, an dem der Patch Manager automatisch alle Patches anwendet, die bis zu diesem Datum veröffentlicht oder aktualisiert wurden. Wenn Sie beispielsweise den 7. Juli 2023 angeben, werden Patches, die am oder nach dem 8. Juli 2023 veröffentlicht oder zuletzt aktualisiert wurden, nicht automatisch installiert.
   + (Optional) **Konformitätsbericht **: Der Schweregrad, den Sie Patches zuweisen möchten, die von der Baseline genehmigt wurden (z. B. `Critical` oder `High`).
**Anmerkung**  
Wenn Sie eine Konformitätsberichtsstufe angeben und der Patch-Status eines genehmigten Patches als `Missing` gemeldet wird, dann entspricht der insgesamt gemeldete Konformitätsschweregrad der Patch-Baseline dem von Ihnen angegebenen Schweregrad.

1. (Optional) Wenn Sie Patches explizit genehmigen möchten, anstatt Patches gemäß Genehmigungsregeln auszuwählen, gehen Sie im Abschnitt **Patch-Ausnahmen** folgendermaßen vor:
   + Geben Sie im Feld **Genehmigte Patches** eine durch Komma getrennte Liste der Patches ein, die Sie genehmigen möchten.

     Weitere Informationen zu akzeptierten Formaten für Listen genehmigter und abgelehnter Patches finden Sie unter [Paketnamen-Formate für genehmigte und abgelehnte Patch-Listen](patch-manager-approved-rejected-package-name-formats.md).
   + (Optional) Weisen Sie in der Liste **Compliance-Stufe genehmigter Patches** den Patches in der Liste eine Compliance-Stufe zu.

1. Wenn Sie Patches ablehnen möchten, die ansonsten Ihren Genehmigungsregeln entsprechen, gehen Sie im Abschnitt **Patch-Ausnahmen** wie folgt vor:
   + Geben Sie im Feld **Abgelehnte Patches** eine durch Komma getrennte Liste der Patches ein, die Sie ablehnen möchten.

     Weitere Informationen zu akzeptierten Formaten für Listen genehmigter und abgelehnter Patches finden Sie unter [Paketnamen-Formate für genehmigte und abgelehnte Patch-Listen](patch-manager-approved-rejected-package-name-formats.md).
   + Wählen Sie in der Liste **Aktion für abgelehnte Patches** die Aktion aus, die Patch Manager für Patches in der Liste **Abgelehnte Patches** ausführen soll.
     + **Als Abhängigkeit zulassen**: unterstützt das Konzept der Paketabhängigkeiten Windows Server nicht. Wenn ein Paket in der Liste der **abgelehnten Patches** enthalten ist und bereits auf dem Knoten installiert ist, wird sein Status als `INSTALLED_OTHER` gemeldet. Jedes Paket, das noch nicht auf dem Knoten installiert ist, wird übersprungen. 
     + **Blockieren**: Pakete in der Liste der **abgelehnten Patches** werden von Patch Manager unter keinen Umständen installiert. Wenn ein Paket installiert wurde, bevor es zur Liste der **abgelehnten Patches** hinzugefügt wurde, oder danach außerhalb von Patch Manager installiert wird, gilt es als nicht konform mit der Patch-Baseline und sein Status wird als `INSTALLED_REJECTED` gemeldet.

     Weitere Informationen zu Aktionen für abgelehnte Pakete finden Sie unter [Optionen für die Liste abgelehnter Patches in benutzerdefinierten Patch-Baselines](patch-manager-windows-and-linux-differences.md#rejected-patches-diff). 

1. (Optional) Wenden **Sie unter Tags verwalten** ein oder mehrere name/value Tag-Schlüsselpaare auf die Patch-Baseline an.

   Tags sind optionale Metadaten, die Sie einer Ressource zuweisen. Mithilfe von Tags können Sie eine Ressource unterschiedlich kategorisieren, beispielsweise nach Zweck, Besitzer oder Umgebung. Sie können beispielsweise eine Patch-Baseline kennzeichnen, um den Schweregrad der angegebenen Patches, die Betriebssystemfamilie, auf die sie sich bezieht, und den Umgebungstyp zu identifizieren. In diesem Fall könnten Sie Tags angeben, die den folgenden name/value Schlüsselpaaren ähneln:
   + `Key=PatchSeverity,Value=Critical`
   + `Key=OS,Value=RHEL`
   + `Key=Environment,Value=Production`

1. Wählen Sie die Option **Patch-Baseline erstellen**.

# Aktualisieren oder Löschen einer benutzerdefinierten Patch-Baseline
<a name="patch-manager-update-or-delete-a-patch-baseline"></a>

Sie können eine benutzerdefinierte Patch-Baseline, die Sie erstellt haben, in Patch Manager, einem Tool in AWS Systems Manager, aktualisieren oder löschen. Wenn Sie eine Patch-Baseline aktualisieren, können Sie deren Namen oder Beschreibung, die Genehmigungsregeln sowie die Ausnahmen für genehmigte und abgelehnte Patches ändern. Sie können auch die Tags aktualisieren, die auf die Patch-Baseline angewendet werden. Sie können den Betriebssystemtyp, für den eine Patch-Baseline erstellt wurde, nicht ändern, und Sie können keine Änderungen an einer vordefinierten Patch-Baseline vornehmen, die von bereitgestellt wird AWS.

## Aktualisieren oder Löschen einer Patch-Baseline
<a name="sysman-maintenance-update-mw"></a>

Gehen Sie wie folgt vor, um eine Patch-Baseline zu aktualisieren oder zu löschen.

**Wichtig**  
 Gehen Sie vorsichtig vor, wenn Sie eine benutzerdefinierte Patch-Baseline löschen, die möglicherweise von einer Patch-Richtlinienkonfiguration in Quick Setup verwendet wird.  
Wenn Sie eine [Patch-Richtlinienkonfiguration](patch-manager-policies.md) in Quick Setup verwenden, werden Aktualisierungen, die Sie an benutzerdefinierten Patch-Baselines vornehmen, einmal pro Stunde mit Quick Setup synchronisiert.   
Wenn eine benutzerdefinierte Patch-Baseline gelöscht wird, auf die in einer Patch-Richtlinie verwiesen wurde, wird auf der Seite mit den Quick Setup-**Konfigurationsdetails** ein Banner für Ihre Patch-Richtlinie angezeigt. Das Banner informiert Sie darüber, dass die Patch-Richtlinie auf eine nicht mehr vorhandene Patch-Baseline verweist und nachfolgende Patching-Vorgänge fehlschlagen werden. Kehren Sie in diesem Fall zur Seite Quick Setup-**Konfigurationen** zurück, wählen Sie die Patch Manager-Konfiguration aus und wählen Sie **Aktionen**, **Konfiguration bearbeiten**. Der Name der gelöschten Patch-Baseline wird hervorgehoben, und Sie müssen eine neue Patch-Baseline für das betroffene Betriebssystem auswählen.

**So aktualisieren oder löschen Sie eine Patch-Baseline**

1. Öffnen Sie die AWS Systems Manager Konsole unter [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Wählen Sie im Navigationsbereich **Patch Manager** aus.

1. Wählen Sie die Patch-Baseline aus, die Sie aktualisieren oder löschen möchten, und führen Sie dann einen der folgenden Schritte aus:
   + Um die Patch-Baseline aus Ihrem zu entfernen AWS-Konto, wählen Sie **Löschen**. Sie werden aufgefordert, Ihre Aktionen zu bestätigen. 
   + Wenn Sie den Namen oder die Beschreibung, die Genehmigungsregeln oder Patch-Ausnahmen der Patch-Baseline ändern möchten, wählen Sie **Edit (Bearbeiten)** aus. Nehmen Sie auf der Seite **Edit patch baseline (Patch-Baseline bearbeiten)** die gewünschten Änderungen vor und klicken Sie dann auf **Save changes (Änderungen speichern)**. 
   + Wenn Sie auf die Patch-Baseline angewendete Tags hinzufügen, ändern oder löschen möchten, klicken Sie auf die Registerkarte **Tags (Tags)** und dann auf **Edit tags (Tags bearbeiten)**. Nehmen Sie auf der Seite **Edit patch baseline tags (Patch-Baseline-Tags bearbeiten)** die gewünschten Änderungen vor und klicken Sie dann auf **Save changes (Änderungen speichern)**. 

   Weitere Informationen zu den Konfigurationsoptionen, die Sie ausführen können, finden Sie unter [Arbeiten mit benutzerdefinierten Patch-Baselines](patch-manager-manage-patch-baselines.md).