创建适用于 Windows Server 的自定义补丁基准 - AWS Systems Manager

创建适用于 Windows Server 的自定义补丁基准

在 Patch Manager(AWS Systems Manager 的一项功能)中,使用以下过程为 Windows 托管式节点创建自定义补丁基准。

有关为 Linux 托管式节点创建补丁基准的信息,请参阅 创建适用于 Linux 的自定义补丁基准。有关为 macOS 托管式节点创建补丁基准的信息,请参阅 创建适用于 macOS 的自定义补丁基准

有关创建仅限于安装 Windows Service Pack 的补丁基准的示例,请参阅 教程:使用控制台创建用于安装 Windows Service Pack 的补丁基准

创建自定义补丁基准 (Windows)

  1. 访问 https://console.aws.amazon.com/systems-manager/,打开 AWS Systems Manager 控制台。

  2. 在导航窗格中,选择 Patch Manager

  3. 选择补丁基准选项卡,然后选择创建补丁基准

    –或者–

    如果您是在当前 AWS 区域首次访问 Patch Manager,请选择从概览开始,然后选择补丁基准选项卡,然后选择创建补丁基准

  4. Name (名称) 中,输入新补丁基准的名称,例如,MyWindowsPatchBaseline

  5. (可选)对于 Description (描述),输入此补丁基准的描述。

  6. 对于 Operating system(操作系统),请选择 Windows

  7. 如果要在创建后即开始将此补丁基准用作 Windows 的默认项,请选择 Set this patch baseline as the default patch baseline for Windows Server instances(将此补丁基准设置为 Windows Server 实例的默认补丁基准)。

    注意

    只有在 2022 年 12 月 22 日 补丁策略 发布之前首次访问 Patch Manager时,此选项才可用。

    有关将现有补丁基准设置为默认项的信息,请参阅 将现有补丁基准设置为默认项

  8. Approval rules for operating systems (操作系统的批准规则) 部分,使用字段创建一个或多个自动批准规则。

    • 产品:批准规则适用的操作系统版本,例如 WindowsServer2012。默认选择为 All

    • Classification (分类):批准规则适用于的补丁的类型,例如 CriticalUpdatesDriversTools。默认选择为 All

      提示

      您可以在您的批准规则中包括 Windows 服务包安装,方法是包含 ServicePacks 或通过在您的分类列表中选择 All。有关示例,请参阅 教程:使用控制台创建用于安装 Windows Service Pack 的补丁基准

    • Severity (严重性):规则适用于的补丁的严重性值,例如 Critical。默认选择为 All

    • Auto-approval(自动批准):选择要自动批准的补丁的方法。

      • 在指定的天数后批准补丁:Patch Manager 在发布或更新补丁之后等待的天数,然后自动批准补丁。可以输入零 (0) 到 360 的任何整数。对于大多数情况,我们建议等待期不超过 100 天。

      • 批准在特定日期之前发布的补丁:补丁发布日期,Patch Manager 自动应用在该日期或之前发布或更新的所有补丁。例如,如果指定 2023 年 7 月 7 日,则不会自动安装在 2023 年 7 月 8 日或之后发布或最后更新的任何补丁。

    • (可选)Compliance reporting(合规性报告):要分配给基准批准的补丁的严重性级别,例如 High

      注意

      如果您指定合规性报告级别以及任何已批准补丁的补丁状态报告为 Missing,则补丁基准报告的总体合规性严重性级别就是您指定的严重级别。

  9. (可选)在应用程序的批准规则部分,使用字段创建一个或多个自动批准规则。

    注意

    您可以将已批准和已拒绝的补丁列表指定为补丁例外,而不是指定批准规则。请参阅步骤 10 和 11。

    • Product family (产品系列):您要为其指定规则的一般 Microsoft 产品系列,如 OfficeExchange Server

    • 产品:批准规则适用的应用程序版本,例如 Office 2016Active Directory Rights Management Services Client 2.0 2016。默认选择为 All

    • Classification (分类):批准规则适用于的补丁的类型,例如 CriticalUpdates。默认选择为 All

    • Severity (严重性):规则适用于的补丁的严重性值,如 Critical。默认选择为 All

    • Auto-approval(自动批准):选择要自动批准的补丁的方法。

      • 在指定的天数后批准补丁:Patch Manager 在发布或更新补丁之后等待的天数,然后自动批准补丁。可以输入零 (0) 到 360 的任何整数。对于大多数情况,我们建议等待期不超过 100 天。

      • 批准在特定日期之前发布的补丁:补丁发布日期,Patch Manager 自动应用在该日期或之前发布或更新的所有补丁。例如,如果指定 2023 年 7 月 7 日,则不会自动安装在 2023 年 7 月 8 日或之后发布或最后更新的任何补丁。

    • (可选)合规性报告:要分配给基准批准的补丁的严重性级别,例如 CriticalHigh

      注意

      如果您指定合规性报告级别以及任何已批准补丁的补丁状态报告为 Missing,则补丁基准报告的总体合规性严重性级别就是您指定的严重级别。

  10. (可选)如果要明确批准任何补丁,而不是允许根据批准规则选择补丁,请在修补例外部分进行以下操作:

    • 对于 Approved patches (已批准的补丁),输入要批准的补丁的逗号分隔列表。

      注意

      有关已批准的补丁和已拒绝的补丁列表的已接受格式的信息,请参阅 已批准补丁和已拒绝补丁列表的程序包名称格式

    • (可选)对于 Approved patches compliance level (已批准补丁合规性级别),为列表中的补丁分配合规性级别。

  11. 如果要明确拒绝除满足批准规则的补丁外的任何补丁,请在 Patch exceptions (补丁例外) 部分执行以下操作:

    • 对于 Rejected patches (已拒绝的补丁),输入要拒绝的补丁的逗号分隔列表。

      注意

      有关已批准的补丁和已拒绝的补丁列表的已接受格式的信息,请参阅 已批准补丁和已拒绝补丁列表的程序包名称格式

    • 对于已拒绝的补丁操作,请选择 Patch Manager 要对已拒绝的补丁列表中包含的补丁采取的操作。

      • 允许作为依赖项:Windows Server 不支持软件包依赖项的概念。如果已拒绝的补丁列表中的软件包已安装在节点上,则其状态将报告为 INSTALLED_OTHER。任何尚未安装在节点上的软件包都将被跳过。

      • 阻止:Patch Manager 在任何情况下都不会安装已拒绝的补丁列表中的软件包。如果在将软件包添加到已拒绝补丁列表之前已安装该软件包,或者之后会在 Patch Manager 外部安装该软件包,则将其视为不符合补丁基准并将状态报告为 INSTALLED_REJECTED

      有关已拒绝软件包操作的更多信息,请参阅自定义补丁基准中的“已拒绝的补丁”列表选项

  12. (可选)对于管理标签,将一个或多个标签键名称/值对应用到补丁基准。

    标签是您分配给资源的可选元数据。标签允许您按各种标准(如用途、所有者或环境)对资源进行分类。例如,您可能想要标记补丁基准来确定其指定的补丁的严重性级别、它适用的操作系统系列以及环境类型。在这种情况下,您可以指定类似于以下键名称/值对的标签:

    • Key=PatchSeverity,Value=Critical

    • Key=OS,Value=RHEL

    • Key=Environment,Value=Production

  13. 请选择创建补丁基准