Creazione di una base di patch personalizzata per Windows Server - AWS Systems Manager

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Creazione di una base di patch personalizzata per Windows Server

Utilizzare la procedura seguente per creare una base di patch personalizzata per i nodi gestiti da Windows in Patch Manager, uno strumento in AWS Systems Manager.

Per informazioni sulla creazione di una patch di base per i nodi gestiti Linux, vedi Creazione di una baseline delle patch personalizzata per Linux. Per informazioni sulla creazione di una patch di base per macOS nodi gestiti, vedereCreazione di una linea di base di patch personalizzata per macOS.

Per un esempio di creazione di una patch di base limitata solo all'installazione di Windows Service Pack, consulta Tutorial: creare una baseline delle patch per l'installazione di Windows Service Pack, utilizzando la console.

Creazione di una patch di base personalizzata (Windows)

  1. Apri la AWS Systems Manager console all'indirizzo https://console.aws.amazon.com/systems-manager/.

  2. Nel riquadro di navigazione, scegli Patch Manager.

  3. Scegli la scheda Patch di base e quindi Crea patch di base.

    oppure

    Se stai accedendo Patch Manager per la prima volta nella versione corrente Regione AWS, scegli Inizia con una panoramica, scegli la scheda Patch baseline, quindi scegli Crea patch baseline.

  4. Nel campo Nome inserisci il nome della nuova patch di base, ad esempio MyWindowsPatchBaseline.

  5. (Facoltativo) Per Descrizione, inserisci una descrizione per questa baseline delle patch.

  6. Per Sistema operativo, seleziona Windows.

  7. Se desideri cominciare a utilizzare subito la patch di base appena creata come impostazione predefinita per Windows, seleziona Rendi predefinita questa patch di base per le istanze di Windows Server.

    Nota

    Questa opzione è disponibile solo se hai effettuato l'accesso per la prima volta Patch Manager prima del rilascio delle politiche sulle patch il 22 dicembre 2022.

    Per informazioni sull'impostazione di una patch di base esistente come predefinita, consulta Impostare una base di patch esistente come predefinita.

  8. Nella sezione Regole di approvazione per i sistemi operativi, utilizza i campi per creare una o più regole di approvazione automatica.

    • Prodotti: la versione del sistema operativo a cui si applica la regola di approvazione, ad esempio WindowsServer2012. L'opzione predefinita è All.

    • Classificazione: il tipo di patch a cui si applica la regola di approvazione, ad esempio CriticalUpdates, Drivers e Tools. L'opzione predefinita è All.

      Suggerimento

      È possibile includere le installazioni di Windows Service Pack nelle regole di approvazione includendo ServicePacks o scegliendo All nell'elenco Classificazione. Per vedere un esempio, consulta Tutorial: creare una baseline delle patch per l'installazione di Windows Service Pack, utilizzando la console.

    • Gravità: il valore di gravità delle patch a cui si applica la regola, ad esempio Critical. L'opzione predefinita è All.

    • Approvazione automatico: il metodo per selezionare le patch per l'approvazione automatica.

      • Approva le patch dopo un determinato numero di giorni: il numero di giorni per Patch Manager attendere il rilascio o l'aggiornamento di una patch prima che una patch venga approvata automaticamente. È possibile inserire qualsiasi numero intero da zero (0) a 360. Per la maggior parte degli scenari, consigliamo di attendere non più di 100 giorni.

      • Approva le patch rilasciate fino a una data specifica: la data di rilascio della patch per la quale Patch Manager applica automaticamente tutte le patch rilasciate o aggiornate a partire da tale data. Ad esempio, se specifichi il 7 luglio 2023, nessuna patch rilasciata o aggiornata a partire dall'8 luglio 2023 verrà installata automaticamente.

    • (Facoltativo) Report di conformità: il livello di gravità da assegnare alle patch approvate dalla base, ad esempio High.

      Nota

      Quando si specifica un livello di report di conformità e lo stato delle patch approvate viene riportato come Missing, la gravità di conformità complessiva riportata dalla patch di base corrisponde al livello di gravità specificato.

  9. (Facoltativo) Nella sezione Regole di approvazione per le applicazioni, utilizza i campi per creare una o più regole di approvazione automatica.

    Nota

    Anziché specificare le regole di approvazione, è possibile specificare elenchi di patch approvate e rifiutate come eccezioni di patch. Vedere i passaggi 10 e 11.

    • Famiglia di prodotti: la famiglia di prodotti Microsoft generale per cui si desidera specificare una regola, ad esempio Office o Exchange Server.

    • Prodotti: la versione dell'applicazione a cui si applica la regola di approvazione, ad esempio Office 2016 o Active Directory Rights Management Services Client 2.0 2016. L'opzione predefinita è All.

    • Classificazione: il tipo di patch a cui si applica la regola di approvazione, ad esempio CriticalUpdates. L'opzione predefinita è All.

    • Gravità: il valore di gravità delle patch a cui si applica la regola, ad esempio Critical. L'opzione predefinita è All.

    • Approvazione automatico: il metodo per selezionare le patch per l'approvazione automatica.

      • Approva le patch dopo un determinato numero di giorni: il numero di giorni per Patch Manager attendere il rilascio o l'aggiornamento di una patch prima che una patch venga approvata automaticamente. È possibile inserire qualsiasi numero intero da zero (0) a 360. Per la maggior parte degli scenari, consigliamo di attendere non più di 100 giorni.

      • Approva le patch rilasciate fino a una data specifica: la data di rilascio della patch per la quale Patch Manager applica automaticamente tutte le patch rilasciate o aggiornate a partire da tale data. Ad esempio, se specifichi il 7 luglio 2023, nessuna patch rilasciata o aggiornata a partire dall'8 luglio 2023 verrà installata automaticamente.

    • (Facoltativo) Report di conformità: il livello di gravità da assegnare alle patch approvate dalla linea di base, ad esempio Critical o High.

      Nota

      Se si specifica un livello di report di conformità e lo stato delle patch approvate viene riportato come Missing, la gravità di conformità complessiva riportata dalla patch di base corrisponde al livello di gravità specificato.

  10. (Facoltativo) Per approvare esplicitamente qualsiasi patch anziché selezionare patch in base alle regole di approvazione, completa la procedura seguente nella sezione Eccezioni di patch:

    • In Patch approvate, inserisci un elenco separato da virgole delle patch che desideri approvare.

      Nota

      Per informazioni sui formati accettati per gli elenchi delle patch approvate e di quelle rifiutate, consulta Formati dei nomi dei pacchetti per gli elenchi delle patch approvate e rifiutate.

    • (Facoltativo) In Livello di conformità patch approvate, assegna un livello di conformità alle patch dell'elenco.

  11. Per rifiutare esplicitamente qualsiasi patch oltre che comunque soddisfano le regole di approvazione, procedere come segue nella sezione Eccezioni patch:

    • In Patch rifiutate, inserisci un elenco separato da virgole delle patch che desideri rifiutare.

      Nota

      Per informazioni sui formati accettati per gli elenchi delle patch approvate e di quelle rifiutate, consulta Formati dei nomi dei pacchetti per gli elenchi delle patch approvate e rifiutate.

    • Per l'azione Rejected patch, seleziona l'azione per Patch Manager per eseguire le patch incluse nell'elenco delle patch rifiutate.

      • Consenti come dipendenza: Windows Server non supporta il concetto di dipendenza dei pacchetti. Quando un pacchetto nell'elenco delle patch rifiutate è già installato sul nodo, lo stato viene riportato come INSTALLED_OTHER. Qualsiasi pacchetto non già installato sul nodo viene ignorato.

      • Blocco: i pacchetti nell'elenco delle patch rifiutate non vengono installati da Patch Manager in qualsiasi circostanza. Se un pacchetto è stato installato prima di essere aggiunto all'elenco delle patch rifiutate o è installato al di fuori di Patch Manager in seguito, viene considerato non conforme alla linea di base della patch e il suo stato viene riportato come. INSTALLED_REJECTED

      Per ulteriori informazioni sulle operazioni relative ai pacchetti rifiutati, consulta le Opzioni dell'elenco delle patch rifiutate nelle baseline delle patch personalizzate.

  12. (Facoltativo) In Gestisci tag, applica una o più coppie valore-nome di chiave di tag alla patch di base.

    I tag sono metadati facoltativi assegnati a una risorsa. Consentono di categorizzare una risorsa in diversi modi, ad esempio in base allo scopo, al proprietario o all'ambiente. Ad esempio, è possibile applicare tag a una patch di base per identificare il livello di gravità delle patch che specifica, la famiglia del sistema operativo a cui si applica e il tipo di ambiente. In questo caso è possibile specificare tag simili alle coppie valore-nome di chiave seguenti:

    • Key=PatchSeverity,Value=Critical

    • Key=OS,Value=RHEL

    • Key=Environment,Value=Production

  13. Scegli Crea una base di patch.