Criar uma lista de referência de patches personalizada para o Windows Server - AWS Systems Manager

Criar uma lista de referência de patches personalizada para o Windows Server

Use o procedimento a seguir para criar uma lista personalizada de referência de patches para os nós gerenciados do Windows no Patch Manager, um recurso do AWS Systems Manager.

Para obter informações sobre como criar uma lista de referência de patches para nós gerenciados do Linux, consulte Criar uma lista de referência de patches personalizada para o Linux. Para obter informações sobre como criar uma lista de referência de patches para nós gerenciados do macOS, consulte Criar uma lista de referência de patches personalizada para o macOS.

Para obter um exemplo de criação de uma lista de referência de patches limitada à instalação apenas do Windows Service Packs, consulte Tutorial: Criar uma lista de referência de patches para instalar o Windows Service Packs usando o console.

Para criar uma linha de base de patch personalizada (Windows)
  1. Abra o console AWS Systems Manager em https://console.aws.amazon.com/systems-manager/.

  2. No painel de navegação, escolha Patch Manager.

  3. Escolha a guia Listas de referência do patches e, em seguida, escolha Criar lista de referência de patches.

    - ou -

    Se estiver acessando o Patch Manager pela primeira vez na Região da AWS atual, escolha Iniciar com uma visão geral, escolha a guia Listas de referência de patches e depois escolha Criar lista de referência de patches.

  4. Em Nome, insira um nome para a nova lista de referência de patches, como MyWindowsPatchBaseline.

  5. (Opcional) Em Description (Descrição), insira uma descrição para essa linha de base de patch.

  6. Em Operating system (Sistema operacional), escolha Windows.

  7. Se você deseja começar a usar essa linha de base de patch como o padrão para o Windows assim que a criar, selecione Set this patch baseline as the default patch baseline for Windows Server instances (Definir essa linha de base de patch como a linha de base de patch padrão para instâncias do Windows Server).

    nota

    Essa opção está disponível somente se você acessou pela primeira vez Patch Manager antes do lançamento das políticas de patch em 22 de dezembro de 2022.

    Para obter informações sobre como definir uma linha de base de patch existente como padrão, consulte Definir uma linha de base de patches existente como padrão.

  8. Na seção Approval rules for operating systems (Regras de aprovação para sistemas operacionais), use os campos para criar uma ou mais regras de aprovação automática.

    • Produto: a versão dos sistemas operacionais à qual a regra de aprovação se aplica, como WindowsServer2012. A seleção padrão é All.

    • Classificação: o tipo de patch ao qual a regra de aprovação se aplica, como CriticalUpdates, Drivers e Tools. A seleção padrão é All.

      dica

      É possível incluir instalações do Windows Service Pack nas regras de aprovação, incluindo ServicePacks ou escolhendo All na lista Classificação. Para ver um exemplo, consulte Tutorial: Criar uma lista de referência de patches para instalar o Windows Service Packs usando o console.

    • Severity (Gravidade): o valor da gravidade dos patches aos quais a regra se aplica, como Critical. A seleção padrão é All.

    • Auto-approval (Aprovação automática): o método para selecionar patches para aprovação automática.

      • Approve patches after a specified number of days (Aprovar patches após um número específico de dias): o número de dias que o Patch Manager deve aguardar para aprovar automaticamente um patch após o lançamento ou atualização de um patch. Insira qualquer número inteiro de zero (0) a 360. Para a maioria dos casos, recomendamos que não aguarde mais de 100 dias.

      • Approve patches released up to a specific date (Aprovar patches lançados até uma data específica): a data de lançamento do patch para a qual o Patch Manager aplica automaticamente todos os patches lançados ou com a última atualização nessa data ou antes dela. Por exemplo, se você especificar 7 de julho de 2023, nenhum patch lançado ou com última atualização em ou após 8 de julho de 2023 será instalado automaticamente.

    • (Opcional) Compliance reporting (Relatórios de conformidade): o nível de gravidade que você deseja atribuir aos patches aprovados pela linha de base, como High.

      nota

      Se você especificar um nível de relatório de conformidade e o estado do patch de qualquer patch aprovado for relatado como Missing, a gravidade geral da conformidade relatada pela lista de referência de patches será o nível de gravidade especificado.

  9. Na seção Approval rules for applications (Regras de aprovação para aplicações), use os campos para criar uma ou mais regras de aprovação automática.

    nota

    Em vez de especificar regras de aprovação, você pode especificar listas de patches aprovados e rejeitados como exceções de patch. Consulte as etapas 10 e 11.

    • Product family (Família de produtos): a família de produtos Microsoft geral para a qual você deseja especificar uma regra, como Office ou Exchange Server.

    • Produto: a versão do aplicativo à qual a regra de aprovação se aplica, como Office 2016 ou Active Directory Rights Management Services Client 2.0 2016. A seleção padrão é All.

    • Classification (Classificação): o tipo de patch ao qual a regra de aprovação se aplica, como CriticalUpdates. A seleção padrão é All.

    • Severity (Gravidade): o valor da gravidade dos patches aos quais a regra se aplica, como Critical. A seleção padrão é All.

    • Auto-approval (Aprovação automática): o método para selecionar patches para aprovação automática.

      • Approve patches after a specified number of days (Aprovar patches após um número específico de dias): o número de dias que o Patch Manager deve aguardar para aprovar automaticamente um patch após o lançamento ou atualização de um patch. Insira qualquer número inteiro de zero (0) a 360. Para a maioria dos casos, recomendamos que não aguarde mais de 100 dias.

      • Approve patches released up to a specific date (Aprovar patches lançados até uma data específica): a data de lançamento do patch para a qual o Patch Manager aplica automaticamente todos os patches lançados ou com a última atualização nessa data ou antes dela. Por exemplo, se você especificar 7 de julho de 2023, nenhum patch lançado ou com última atualização em ou após 8 de julho de 2023 será instalado automaticamente.

    • (Opcional) Relatórios de conformidade: o nível de gravidade que você deseja atribuir aos patches aprovados pela lista de referência, como Critical ou High.

      nota

      Se você especificar um nível de relatório de conformidade e o estado do patch de qualquer patch aprovado for relatado como Missing, a gravidade geral da conformidade relatada pela lista de referência de patches será o nível de gravidade especificado.

  10. (Opcional) Se você quiser explicitamente aprovar qualquer patch em vez de permitir que os patches sejam selecionados de acordo com regras de aprovação, faça o seguinte na seção Patch exceptions (Exceções de patch):

    • Em Approved patches (Patches aprovados), insira uma lista separada por vírgulas dos patches que você deseja aprovar.

      nota

      Para obter mais informações sobre os formatos aceitos de listas de patches aprovados e rejeitados, consulte Sobre formatos de nomes de pacotes para listas de patches aprovados e rejeitados.

    • (Opcional) Em Approved patches compliance level (Nível de conformidade dos patches aprovados), atribua um nível de conformidade aos patches na lista.

  11. Se quiser explicitamente rejeitar qualquer patch que de outra forma atendem às suas regras de aprovação, faça o seguinte na seção Patch exceptions (Exceções de patch):

    • Em Rejected patches (Patches rejeitados), insira uma lista separada por vírgulas dos patches que você deseja rejeitar.

      nota

      Para obter mais informações sobre os formatos aceitos de listas de patches aprovados e rejeitados, consulte Sobre formatos de nomes de pacotes para listas de patches aprovados e rejeitados.

    • Em Rejected patches action (Ação para patches rejeitados), selecione a ação que o Patch Manager deve realizar para patches incluídos na lista Rejected patches (Patches rejeitados).

      • Permitir como dependência: o Windows Server não é compatível com o conceito de dependências de pacotes. Se um pacote estiver na lista de Patches rejeitados e já estiver instalado no nó, seu status será relatado como INSTALLED_OTHER. Qualquer pacote que ainda não esteja instalado no nó é ignorado.

      • Bloquear: os pacotes na lista de patches rejeitados não são instalados pelo Patch Manager em nenhuma circunstância. Se um pacote tiver sido instalado antes de ser adicionado à lista Patches rejeitados ou instalado fora do Patch Manager, ele será considerado como fora conformidade com a lista de referência de patches e seu status será indicado como INSTALLED_REJECTED.

      Para obter mais informações sobre ações de pacotes rejeitados, consulte Opções de lista de patches rejeitados em listas de referência de patches personalizados.

  12. (Opcional) Em Manage tags (Gerenciar tags), aplique um ou mais pares de nome/valor de chave de tag à linha de base de patch.

    Tags são metadados opcionais que você atribui a um recurso. As tags permitem categorizar um recurso de diferentes formas, como por finalidade, proprietário ou ambiente. Por exemplo, você pode querer marcar uma linha de base de patch para identificar o nível de gravidade dos patches especificados, a família de sistemas operacionais aos quais ela se aplica e o tipo de ambiente. Nesse caso, você pode especificar tags semelhantes aos seguintes pares de nome/valor:

    • Key=PatchSeverity,Value=Critical

    • Key=OS,Value=RHEL

    • Key=Environment,Value=Production

  13. Escolha Create patch baseline.