Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Baseline delle patch predefinite e personalizzate
Patch Manager, uno strumento in AWS Systems Manager, fornisce linee di base di patch predefinite per ciascuno dei sistemi operativi supportati da Patch Manager. È possibile utilizzare queste linee di base così come sono attualmente configurate (non è possibile personalizzarle) oppure creare linee di base di patch personalizzate. Le basi di patch personalizzate ti consentono di ottenere un maggiore controllo sulle patch approvate o rifiutate per l'ambiente. Inoltre, le basi predefinite assegnano un livello di conformità Unspecified a tutte le patch installate queste basi. Per assegnare i valori di conformità, è possibile creare una copia di una base predefinita e specificare i valori di conformità che vuoi assegnare alle patch. Per ulteriori informazioni, consulta Baseline personalizzate e Utilizzo delle basi di patch personalizzate.
Nota
Le informazioni contenute in questo argomento si applicano indipendentemente dal metodo o dal tipo di configurazione utilizzato per le operazioni di applicazione di patch:
-
Una politica di patch configurata in Quick Setup
-
Un'opzione di gestione dell'host configurata in Quick Setup
-
Una finestra di manutenzione per eseguire un'attività
ScanoInstalldi patch -
Un'operazione Patch now (Applica subito una patch) on demand
Baseline predefinite
La tabella seguente descrive le linee base di patch predefinite fornite con Patch Manager.
Per informazioni sulle versioni di ciascun sistema operativo Patch Manager supporti, vederePatch Manager prerequisiti.
| Nome | Sistema operativo supportato | Informazioni |
|---|---|---|
|
|
AlmaLinux |
Approva tutte le patch del sistema operativo classificate come "Security" e con un livello di gravità pari a "Critical" o "Important". Approva inoltre tutte le patch classificate come "Bugfix". Le patch vengono approvate automaticamente 7 giorni dopo il rilascio o l'aggiornamento.¹ |
|
|
Amazon Linux 1 |
Approva tutte le patch del sistema operativo classificate come "Security" e con un livello di gravità pari a "Critical" o "Important". Inoltre approva automaticamente tutte le patch classificate come "Bugfix". Le patch vengono approvate automaticamente 7 giorni dopo il rilascio o l'aggiornamento.¹ |
AWS-AmazonLinux2DefaultPatchBaseline |
Amazon Linux 2 | Approva tutte le patch del sistema operativo classificate come "Security" e con un livello di gravità pari a "Critical" o "Important". Inoltre approva tutte le patch classificate come "Bugfix". Le patch vengono approvate automaticamente 7 giorni dopo il rilascio.¹ |
AWS-AmazonLinux2022DefaultPatchBaseline |
Amazon Linux 2022 |
Approva tutte le patch del sistema operativo classificate come "Security" e con un livello di gravità pari a "Critical" o "Important". Le patch vengono approvate automaticamente 7 giorni dopo il rilascio. Inoltre approva tutte le patch classificate come "Bugfix" sette giorni dopo il rilascio |
AWS-AmazonLinux2023DefaultPatchBaseline |
Amazon Linux 2023 |
Approva tutte le patch del sistema operativo classificate come "Security" e con un livello di gravità pari a "Critical" o "Important". Le patch vengono approvate automaticamente 7 giorni dopo il rilascio. Inoltre approva tutte le patch classificate come "Bugfix" sette giorni dopo il rilascio |
AWS-CentOSDefaultPatchBaseline |
CentOS e CentOS Stream | Approva tutti gli aggiornamenti 7 giorni dopo il rilascio, inclusi quelli non correlati alla sicurezza. |
AWS-DebianDefaultPatchBaseline |
Debian Server | Approva immediatamente tutte le patch del sistema operativo correlate alla sicurezza con la priorità "Required", "Important", "Standard", "Optional" o "Extra". Non vi è alcun tempo di attesa prima dell'approvazione perché le date di rilascio affidabili non sono disponibili nei repository. |
AWS-MacOSDefaultPatchBaseline |
macOS | Approva tutte le patch del sistema operativo classificate come “Security”. Approva anche tutti i pacchetti con un aggiornamento corrente. |
AWS-OracleLinuxDefaultPatchBaseline |
Oracle Linux | Approva tutte le patch del sistema operativo classificate come "Security" e con un livello di gravità pari a "Important" o "Moderate". Approva inoltre tutte le patch classificate come "Bugfix" 7 giorni dopo il rilascio. Le patch vengono approvate automaticamente 7 giorni dopo il rilascio o l'aggiornamento.¹ |
AWS-DefaultRaspbianPatchBaseline |
Raspberry Pi OS | Approva immediatamente tutte le patch del sistema operativo correlate alla sicurezza con la priorità "Required", "Important", "Standard", "Optional" o "Extra". Non vi è alcun tempo di attesa prima dell'approvazione perché le date di rilascio affidabili non sono disponibili nei repository. |
|
|
Red Hat Enterprise Linux (RHEL) |
Approva tutte le patch del sistema operativo classificate come "Security" e con un livello di gravità pari a "Critical" o "Important". Approva inoltre tutte le patch classificate come "Bugfix". Le patch vengono approvate automaticamente 7 giorni dopo il rilascio o l'aggiornamento.¹ |
|
|
Rocky Linux |
Approva tutte le patch del sistema operativo classificate come "Security" e con un livello di gravità pari a "Critical" o "Important". Approva inoltre tutte le patch classificate come "Bugfix". Le patch vengono approvate automaticamente 7 giorni dopo il rilascio o l'aggiornamento.¹ |
AWS-SuseDefaultPatchBaseline |
SUSE Linux Enterprise Server (SLES) | Approva tutte le patch del sistema operativo classificate come "Security" e con una gravità pari a "Critical" o "Important". Le patch vengono approvate automaticamente 7 giorni dopo il rilascio o l'aggiornamento.¹ |
|
|
Ubuntu Server |
Approva immediatamente tutte le patch del sistema operativo correlate alla sicurezza con la priorità "Required", "Important", "Standard", "Optional" o "Extra". Non vi è alcun tempo di attesa prima dell'approvazione perché le date di rilascio affidabili non sono disponibili nei repository. |
AWS-DefaultPatchBaseline |
Windows Server |
Approva tutto Windows Server patch del sistema operativo classificate come "" o "CriticalUpdatesSecurityUpdates" e che hanno una gravità MSRC di «Critica» o «Importante». Le patch vengono approvate automaticamente 7 giorni dopo il rilascio o l'aggiornamento.² |
AWS-WindowsPredefinedPatchBaseline-OS |
Windows Server |
Approva tutte Windows Server patch del sistema operativo classificate come "" o "CriticalUpdatesSecurityUpdates" e che hanno una gravità MSRC di «Critica» o «Importante». Le patch vengono approvate automaticamente 7 giorni dopo il rilascio o l'aggiornamento.² |
AWS-WindowsPredefinedPatchBaseline-OS-Applications |
Windows Server | Per il Windows Server sistema operativo, approva tutte le patch classificate come "" o "CriticalUpdatesSecurityUpdates" e che hanno una gravità MSRC di «Critica» o «Importante». Per le applicazioni rilasciate da Microsoft, approva tutte le patch. Sia le patch del sistema operativo sia quelle delle applicazioni vengono approvate automaticamente 7 giorni dopo il rilascio o l'aggiornamento.² |
¹ Per Amazon Linux 1 e Amazon Linux 2, l'attesa di 7 giorni prima dell'approvazione automatica delle patch viene calcolata in base al valore Updated Date in updateinfo.xml, non al valore Release Date. Vari fattori possono influire sul valore Updated Date. Altri sistemi operativi gestiscono le date di rilascio e aggiornamento in modo diverso. Per informazioni su come evitare risultati imprevisti dovuti a ritardi nell'approvazione automatica, consulta Il modo in cui vengono calcolate le date di rilascio e di aggiornamento dei pacchetti.
² Per Windows Server, le linee di base predefinite includono un ritardo di approvazione automatica di 7 giorni. Per installare una patch entro 7 giorni dal rilascio, è necessario creare una baseline personalizzata.
Baseline personalizzate
Consulta le seguenti informazioni utili per creare baseline delle patch personalizzate per raggiungere gli obiettivi di patch.
Argomenti
Utilizzo delle approvazioni automatiche nelle baseline personalizzate
Se crei la tua base di patch, potrai scegliere le patch da approvare automaticamente utilizzando le seguenti categorie.
-
Sistema operativo: Windows Server, Amazon Linux, Ubuntu Servere così via.
-
Nome del prodotto (per i sistemi operativi): ad esempio RHEL 6.5, Amazon Linux 2014,09, Windows Server 2012, Windows Server 2012 R2 e così via.
-
Nome del prodotto (per le applicazioni rilasciate da Microsoft su Windows Server solo): ad esempio, Word 2016, BizTalk Server e così via.
-
Classificazione: ad esempio aggiornamenti critici, aggiornamenti di sicurezza e così via.
-
Gravità: ad esempio critica, importante e così via.
Per ogni regola di approvazione creata, è possibile scegliere di specificare un ritardo di approvazione automatica o specificare una data limite di approvazione patch.
Nota
Perché non è possibile determinare in modo affidabile le date di rilascio dei pacchetti di aggiornamento per Ubuntu Server, le opzioni di approvazione automatica non sono supportate per questo sistema operativo.
Il ritardo è il numero di giorni di attesa dopo il rilascio o l'ultimo aggiornamento della patch, prima che questa venga automaticamente approvata per l'applicazione. Ad esempio, se crei una regola con la classificazione CriticalUpdates e la configuri con un ritardo dell'approvazione automatica di 7 giorni, la nuova patch critica rilasciata il 7 gennaio verrà automaticamente approvata il 14 gennaio.
Se un repository Linux non fornisce informazioni sulla data di rilascio per i pacchetti, Systems Manager utilizza il tempo di compilazione del pacchetto come ritardo di approvazione automatica per Amazon Linux 1, Amazon Linux 2, RHELe CentOS. Se il sistema non è in grado di trovare il tempo di compilazione del pacchetto, Systems Manager considera il ritardo dell'approvazione automatica come un valore zero.
Quando si specifica una data limite per l'approvazione automatica, Patch Manager applica automaticamente tutte le patch rilasciate o aggiornate l'ultima volta in quella data o prima di tale data. Ad esempio, se si specifica il 7 luglio 2023 come data limite, nessuna patch rilasciata o aggiornata a partire dall'8 luglio 2023 verrà installata automaticamente.
Quando si crea una patch di base personalizzata, è possibile specificare un livello di gravità di conformità per le patch approvate da quella patch di base, ad esempio Critical o High. Se lo stato delle patch approvate viene riportato come Missing, la gravità di conformità complessiva riportata dalla patch di base corrisponde al livello di gravità specificato.
Informazioni aggiuntive per la creazione di baseline delle patch
Quando crei una base di patch, tieni presente quanto segue:
-
Patch Manager fornisce una patch di base predefinita per ogni sistema operativo supportato. Queste vengono utilizzate come basi di patch predefinite per ciascun tipo di sistema operativo, a meno che non si crei la propria base di patch designandola come predefinita per il tipo di sistema operativo corrispondente.
Nota
In Windows Server, vengono fornite tre linee base di patch predefinite. Le linee di base delle patch
AWS-DefaultPatchBaselineeAWS-WindowsPredefinedPatchBaseline-OSsupportano solo gli aggiornamenti del sistema operativo Windows stesso.AWS-DefaultPatchBaselineviene utilizzata come base di riferimento delle patch predefinita per Windows Server nodi gestiti a meno che non si specifichi una linea di base di patch diversa. Le impostazioni di configurazione in queste due linee di base delle patch sono le stesse. Il più recente dei dueAWS-WindowsPredefinedPatchBaseline-OS, è stato creato per distinguerlo dalla terza patch di base predefinita per Windows Server. Questa linea di base della patchAWS-WindowsPredefinedPatchBaseline-OS-Applications,, può essere utilizzata per applicare patch a entrambi i Windows Server sistema operativo e applicazioni supportate rilasciate da Microsoft. -
Per impostazione predefinita, Windows Server 2019 e Windows Server 2022 rimuove gli aggiornamenti che vengono sostituiti da aggiornamenti successivi. Di conseguenza, se si utilizza il
ApproveUntilDateparametro in un Windows Server linea di base della patch, ma la data selezionata nelApproveUntilDateparametro è precedente alla data della patch più recente, la nuova patch non viene installata quando viene eseguita l'operazione di patching. Per ulteriori informazioni sull' Windows Server regole di applicazione delle patch, vedi le Windows Server linguetta. Come vengono selezionate le patch di sicurezzaCiò significa che il nodo gestito è conforme in termini di operazioni di Systems Manager, anche nel caso in cui una patch critica del mese precedente non sia installata. Lo stesso scenario potrebbe verificarsi quando si utilizza il parametro
ApproveAfterDays. A causa del comportamento delle patch sostituite da Microsoft, è possibile impostare un numero (generalmente superiore a 30 giorni) in modo che le patch vengano applicate per Windows Server non vengono mai installati se l'ultima patch disponibile di Microsoft viene rilasciata prima che sia trascorso il numero di giorni in cuiApproveAfterDaysè stata inserita. -
Per server e macchine virtuali locali (), VMs Patch Manager tenta di utilizzare la linea di base delle patch predefinita personalizzata. Se non è disponibile alcuna base di patch predefinita personalizzata, il sistema utilizza la base di patch predefinita per il sistema operativo corrispondente.
-
Se una patch è specificata come approvata e rifiutata nella stessa base di patch, viene rifiutata.
-
Un nodo gestito può avere una patch di base definita.
-
I formati dei nomi dei pacchetti che possono essere aggiunti agli elenchi delle patch approvate e di quelle rifiutate per una base di patch dipendono dal tipo di sistema operativo a cui si applicano le patch.
Per informazioni sui formati accettati per gli elenchi delle patch approvate e di quelle rifiutate, consulta Formati dei nomi dei pacchetti per gli elenchi delle patch approvate e rifiutate.
Se si utilizza una configurazione della politica di patch in Quick Setup, gli aggiornamenti apportati alle linee di base delle patch personalizzate sono sincronizzati con Quick Setup una volta all'ora.
Se viene eliminata una baseline di patch personalizzata a cui si fa riferimento in una policy sulle patch, viene visualizzato un banner sulla Quick Setup Pagina dei dettagli di configurazione per la politica di patch. Il banner informa che la policy di patch fa riferimento a una patch di base che non esiste più, di conseguenza le successive operazioni di applicazione di patch avranno esito negativo. In questo caso, torna al Quick Setup Pagina delle configurazioni, selezionare Patch Manager configurazione e scegli Azioni, Modifica configurazione. Il nome della patch di base eliminata viene evidenziato ed è necessario selezionare una nuova patch di base per il sistema operativo interessato.
Per informazioni sulla creazione di una base di patch, consulta Utilizzo delle basi di patch personalizzate e Tutorial: applicare una patch a un ambiente server utilizzando il AWS CLI.
