Référentiels de correctifs prédéfinis et personnalisés
Patch Manager, une fonctionnalité de AWS Systems Manager, inclut un référentiel de correctifs prédéfini pour chaque système d'exploitation pris en charge par Patch Manager. Vous pouvez utiliser ces lignes de base telles qu'elles sont actuellement configurées (vous ne pouvez pas les personnaliser) ou vous pouvez créer vos propres lignes de base de correctifs personnalisées. Les lignes de base de correctifs personnalisées vous permettent de mieux contrôler les correctifs approuvés ou rejetés pour votre environnement. En outre, les lignes de base prédéfinies attribuent un niveau de conformité Unspecified à tous les correctifs installés à l'aide de ces lignes de base. Pour que les valeurs de conformité soient affectées, vous pouvez créer une copie d'une ligne de base prédéfinie et spécifier les valeurs de conformité que vous souhaitez affecter aux correctifs. Pour plus d’informations, consultez Références personnalisées et Utilisation des référentiels de correctifs personnalisés.
Note
Les informations de cette rubrique s'appliquent, quels que soient la méthode ou le type de configuration que vous utilisez pour vos opérations d'application de correctifs :
-
Une politique de correctifs configurée dans Quick Setup
-
Une option de gestion des hôtes configurée dans Quick Setup
-
Une fenêtre de maintenance pour exécuter un correctif
Scanou une tâcheInstall -
Une opération Patch now (Appliquer les correctifs maintenant) à la demande
Référentiels prédéfinis
Le tableau ci-dessous décrit les références de correctifs prédéfinies fournies avec Patch Manager.
Pour plus d'informations sur les versions de chaque système d'exploitation que Patch Manager prend en charge, consultez Conditions préalables requises Patch Manager.
| Nom | Système d'exploitation pris en charge | Détails |
|---|---|---|
|
|
AlmaLinux |
Approuve tous les correctifs de système d'exploitation qui sont classés dans la section « Security (Sécurité) » et qui ont un niveau de sévérité « Critical (Critique) » ou « Important ». Approuve également tous les correctifs classés comme « Bugfix » (Correctif de bogue). L'approbation automatique des correctifs se fait 7 jours après leur publication ou leur mise à jour.¹ |
|
|
Amazon Linux 1 |
Approuve tous les correctifs de système d'exploitation qui sont classés dans la section « Security (Sécurité) » et qui ont un niveau de sévérité « Critical (Critique) » ou « Important ». Avec une classification « Bugfix », l'approbation automatique de tous les correctifs est possible. L'approbation automatique des correctifs se fait 7 jours après leur publication ou leur mise à jour.¹ |
AWS-AmazonLinux2DefaultPatchBaseline |
Amazon Linux 2 | Approuve tous les correctifs de système d'exploitation qui sont classés dans la section « Security (Sécurité) » et qui ont un niveau de sévérité « Critical (Critique) » ou « Important ». Avec une classification « Bugfix », l'approbation automatique de tous les correctifs est possible. L'approbation automatique des correctifs se fait 7 jours après leur publication.¹ |
AWS-AmazonLinux2022DefaultPatchBaseline |
Amazon Linux 2022 |
Approuve tous les correctifs de système d'exploitation qui sont classés dans la section « Security (Sécurité) » et qui ont un niveau de sévérité « Critical (Critique) » ou « Important ». Les correctifs sont approuvés automatiquement sept jours après leur publication. Approuve également tous les correctifs avec une classification « Bugfix (correctif de bogue) » sept jours après leur publication. |
AWS-AmazonLinux2023DefaultPatchBaseline |
Amazon Linux 2023 |
Approuve tous les correctifs de système d'exploitation qui sont classés dans la section « Security (Sécurité) » et qui ont un niveau de sévérité « Critical (Critique) » ou « Important ». Les correctifs sont approuvés automatiquement sept jours après leur publication. Approuve également tous les correctifs avec une classification « Bugfix (correctif de bogue) » sept jours après leur publication. |
AWS-CentOSDefaultPatchBaseline |
CentOS et CentOS Stream | Approuvez toutes les mises à jour 7 jours après leur disponibilité, notamment les mises à jour non liées à la sécurité. |
AWS-DebianDefaultPatchBaseline |
Debian Server | Approuve immédiatement tous les correctifs de système d'exploitation relatifs à la sécurité qui ont une priorité « Required (Obligatoire) », « Important (Importante) », « Standard », « Optional (Facultative) » ou « Extra ». L'approbation est immédiate, car les dates de publication fiables sont indisponibles dans le référentiel. |
AWS-MacOSDefaultPatchBaseline |
macOS | Approuve tous les correctifs de système d'exploitation classifiés comme « liés à la sécurité » Approuve également tous les packages faisant l'objet d'une mise à jour. |
AWS-OracleLinuxDefaultPatchBaseline |
Oracle Linux | Approuve tous les correctifs de système d'exploitation qui sont classés dans la section « Security (Sécurité) » et qui ont un niveau de sévérité « Important » ou « Moderate (Modéré) ». Approuve également tous les correctifs classés comme « Bugfix » (Correctif de bogue) 7 jours après leur publication. L'approbation automatique des correctifs se fait 7 jours après leur publication ou leur mise à jour.¹ |
AWS-DefaultRaspbianPatchBaseline |
Raspberry Pi OS | Approuve immédiatement tous les correctifs de système d'exploitation relatifs à la sécurité qui ont une priorité « Required (Obligatoire) », « Important (Importante) », « Standard », « Optional (Facultative) » ou « Extra ». L'approbation est immédiate, car les dates de publication fiables sont indisponibles dans le référentiel. |
|
|
Red Hat Enterprise Linux (RHEL) |
Approuve tous les correctifs de système d'exploitation qui sont classés dans la section « Security (Sécurité) » et qui ont un niveau de sévérité « Critical (Critique) » ou « Important ». Approuve également tous les correctifs classés comme « Bugfix » (Correctif de bogue). L'approbation automatique des correctifs se fait 7 jours après leur publication ou leur mise à jour.¹ |
|
|
Rocky Linux |
Approuve tous les correctifs de système d'exploitation qui sont classés dans la section « Security (Sécurité) » et qui ont un niveau de sévérité « Critical (Critique) » ou « Important ». Approuve également tous les correctifs classés comme « Bugfix » (Correctif de bogue). L'approbation automatique des correctifs se fait 7 jours après leur publication ou leur mise à jour.¹ |
AWS-SuseDefaultPatchBaseline |
SUSE Linux Enterprise Server (SLES) | Approuve tous les correctifs de système d'exploitation qui sont classés en tant que « Security (Sécurité) » et qui ont un niveau de sévérité « Critical (Critique) » ou « Important ». L'approbation automatique des correctifs se fait 7 jours après leur publication ou leur mise à jour.¹ |
|
|
Ubuntu Server |
Approuve immédiatement tous les correctifs de système d'exploitation relatifs à la sécurité qui ont une priorité « Required (Obligatoire) », « Important (Importante) », « Standard », « Optional (Facultative) » ou « Extra ». L'approbation est immédiate, car les dates de publication fiables sont indisponibles dans le référentiel. |
AWS-DefaultPatchBaseline |
Windows Server |
Approuve tous les correctifs de système d'exploitation Windows Server qui sont classés en tant que « CriticalUpdates (Mises à jour critiques) » ou « SecurityUpdates (Mises à jour de sécurité) » et qui ont un niveau de sévérité MSRC « Critical (Critique) » ou « Important ». L'approbation automatique des correctifs se fait 7 jours après leur publication ou leur mise à jour.² |
AWS-WindowsPredefinedPatchBaseline-OS |
Windows Server |
Approuve tous les correctifs de système d'exploitation Windows Server qui sont classés en tant que « CriticalUpdates (Mises à jour critiques) » ou « SecurityUpdates (Mises à jour de sécurité) » et qui ont un niveau de sévérité MSRC « Critical (Critique) » ou « Important ». L'approbation automatique des correctifs se fait 7 jours après leur publication ou leur mise à jour.² |
AWS-WindowsPredefinedPatchBaseline-OS-Applications |
Windows Server | Pour le système d'exploitation Windows Server, approuve tous les correctifs qui sont classés en tant que « CriticalUpdates (Mises à jour critiques) » ou « SecurityUpdates (Mises à jour de sécurité) » et qui ont un niveau de sévérité MSRC « Critical (Critique) » ou « Important ». Pour les applications publiées par Microsoft, approuve tous les correctifs. Les correctifs de système d'exploitation et d'applications sont automatiquement approuvés 7 jours après leur publication.² |
¹ Pour Amazon Linux 1 et Amazon Linux 2, l’attente de 7 jours avant l’approbation automatique des correctifs est calculée à partir d’une valeur Updated Date dans updateinfo.xml, pas une valeur Release Date. Divers facteurs peuvent affecter la valeur Updated Date. Les autres systèmes d'exploitation gèrent les dates de sortie ainsi que de mise à jour de façon différente. Pour des informations vous permettant d'éviter des résultats inattendus avec les délais d'approbation automatique, consultez Calcul des dates de sortie et des mises à jour des packages.
² Pour Windows Server, les références par défaut incluent un délai d'approbation automatique de 7 jours. Pour installer un correctif dans les 7 jours suivant sa publication, vous devez créer une base de référence personnalisée.
Références personnalisées
Utilisez les informations suivantes pour vous aider à créer des référentiels de correctifs personnalisés afin d’atteindre vos objectifs en matière d’application de correctifs.
Rubriques
Utilisation des approbations automatiques dans les référentiels personnalisés
Si vous créez votre propre référentiel de correctifs, vous pouvez choisir les correctifs à approuver automatiquement en utilisant les catégories suivantes.
-
Système d’exploitation : Windows Server, Amazon Linux, Ubuntu Server, etc.
-
Nom du produit (pour les systèmes d’exploitation) : par exemple, RHEL 6.5, Amazon Linux 2014.09, Windows Server 2012, Windows Server 2012 R2, etc.
-
Nom du produit (pour les applications publiées par Microsoft sur Windows Server uniquement) : par exemple, Word 2016, BizTalk Server, etc.
-
Classification : par exemple, mises à jour critiques, mises à jour de sécurité, etc.
-
Sévérité : par exemple, critique, important, etc.
Pour chaque règle d'approbation que vous créez, vous pouvez choisir de spécifier un délai d'approbation automatique ou une date limite d'approbation des correctifs.
Note
Comme il n'est pas possible de déterminer de manière fiable les dates de publication des packages de mise à jour pour Ubuntu Server, les options d'approbation automatique ne sont pas prises en charge pour ce système d'exploitation.
Le délai d'approbation automatique correspond au nombre de jours à attendre après la publication ou la dernière mise à jour du correctif, ceci avant que ce dernier ne soit automatiquement approuvé pour application. Par exemple, si vous créez une règle à l'aide de la classification CriticalUpdates et que vous la configurez pour un délai d'approbation automatique de 7 jours, un nouveau correctif critique publié le 7 juillet sera automatiquement approuvé le 14 juillet.
Si un référentiel Linux ne fournit pas les informations relatives à la date de publication des packages, Systems Manager utilise le temps de génération du package comme délai d’approbation automatique pour Amazon Linux 1, Amazon Linux 2, RHEL et CentOS. Si le système ne peut pas trouver le temps de génération du package, Systems Manager traite le délai d'approbation automatique comme ayant une valeur de zéro.
Lorsque vous indiquez une date limite d'auto-approbation, Patch Manager tous les correctifs publiés ou mis à jour à cette date ou avant sont automatiquement appliqués. Par exemple, si vous indiquez le 7 juillet 2023 comme date limite, aucun correctif publié ou mis à jour le 8 juillet 2023 ou après ne sera installé automatiquement.
Lorsque vous créez un référentiel de correctifs personnalisé, vous pouvez spécifier un niveau de sévérité de conformité pour les correctifs approuvés par ce référentiel de correctifs, tel que Critical ou High. Si l'état des correctifs d'un correctif approuvé est indiqué Missing, le niveau de sévérité de conformité global indiqué pour le référentiel de correctifs est le niveau de sévérité que vous avez spécifié.
Informations complémentaires pour la création de référentiels de correctifs
Gardez les points suivants à l'esprit lorsque vous créez un référentiel de correctifs :
-
Patch Manager fournit un référentiel de correctifs prédéfini pour chaque système d'exploitation pris en charge. Ces références de correctifs prédéfinies sont utilisées en tant que références de correctifs par défaut pour chaque type de système d'exploitation, sauf si vous créez votre propre référentiel de correctifs et que vous la définissez comme le référentiel par défaut pour le type de système d'exploitation correspondant.
Note
Pour Windows Server, trois référentiels de correctifs prédéfinis sont fournis. Les référentiels de correctifs
AWS-DefaultPatchBaselineetAWS-WindowsPredefinedPatchBaseline-OSprennent uniquement en charge les mises à jour du système d'exploitation Windows.AWS-DefaultPatchBaselineest utilisé comme référentiel de correctifs par défaut pour les nœuds gérés Windows Server, sauf si vous en spécifiez un autre. Ces deux référentiels de correctifs ont des paramètres de configuration identiques. Le plus récent des deux,AWS-WindowsPredefinedPatchBaseline-OS, a été créé pour le différencier du troisième référentiel de correctifs prédéfini pour Windows Server. Ce référentiel de correctifs,AWS-WindowsPredefinedPatchBaseline-OS-Applications, peut être utilisé pour appliquer des correctifs à la fois au système d'exploitation Windows Server et aux applications prises en charge publiées par Microsoft. -
Par défaut, Windows Server 2019 et Windows Server 2022 suppriment les mises à jour qui sont remplacées par des mises à jour ultérieures. Par conséquent, si vous utilisez le paramètre
ApproveUntilDatedans un référentiel de correctifs Windows Server, mais que la date sélectionnée dans le paramètreApproveUntilDateest antérieure à la date du dernier correctif, le nouveau correctif n’est pas installé lors de l’exécution de l’application de correctifs. Pour plus d’informations sur les règles d’application de correctifs Windows Server, consultez l’onglet Windows Server dans Sélection des correctifs de sécurité.Cela signifie que le nœud géré est conforme en termes d’opérations Systems Manager, même si un correctif critique du mois précédent peut ne pas être installé. Le même scénario peut se produire lorsque vous utilisez le paramètre
ApproveAfterDays. En raison du comportement de Microsoft en matière de correctifs remplacés, il est possible de définir un nombre (généralement supérieur à 30 jours) de sorte que les correctifs pour Windows Server ne soient jamais installés si le dernier correctif disponible de Microsoft est publié avant que le nombre de jours indiqué dansApproveAfterDaysne se soit écoulé. -
Pour les serveurs et les machines virtuelles (VM) sur site, Patch Manager tente d'utiliser votre référentiel de correctifs personnalisé par défaut. S'il n'existe aucun référentiel de correctifs personnalisée par défaut, le système utilise le référentiel de correctifs prédéfinie pour le système d'exploitation correspondant.
-
Si un correctif est répertorié comme approuvé et refusé dans la même référentiel de correctifs, le correctif est refusé.
-
Vous ne pouvez définir qu'un seul référentiel de correctifs par nœud géré.
-
Les formats de noms de package que vous pouvez ajouter à la liste des correctifs approuvés et rejetés pour un référentiel de correctifs dépendent du type de système d'exploitation auquel vous appliquez des correctifs.
Pour obtenir des informations sur les formats acceptés de listes de correctifs approuvés et de correctifs rejetés, consultez Formats de noms de package pour les listes de correctifs approuvés et rejetés.
Si vous utilisez une configuration de politique de correctifs dans Quick Setup, les mises à jour que vous apportez aux référentiels de correctifs personnalisés sont synchronisées avec Quick Setup une fois par heure.
Si un référentiel de correctifs personnalisé référencé dans une politique de correctifs est supprimé, une bannière s'affiche sur la page Quick Setup Configuration details (Détails de configuration) de votre politique de correctifs. La bannière vous informe que la politique de correctifs fait référence à un référentiel de correctifs qui n'existe plus et que les opérations d'application de correctifs suivantes échoueront. Dans ce cas, revenez à la page Quick Setup Configurations, sélectionnez la configuration Patch Manager, puis choisissez Actions, Edit configuration (Modifier la configuration). Le nom du référentiel de correctifs supprimé est surligné et vous devez sélectionner un nouveau référentiel de correctifs pour le système d'exploitation concerné.
Pour plus d'informations sur la création d'un référentiel de correctifs, consultez Utilisation des référentiels de correctifs personnalisés et Tutoriel : Corriger un environnement de serveur à l’aide de l’application AWS CLI.
