Linux 和 Windows Server 之间的补丁操作差异

本主题介绍 Patch Manager（AWS Systems Manager 的一个功能）中 Linux 和 Windows Server 修补之间的重要差异。

区别 1：补丁评估

Patch Manager 在 Windows 托管式节点和 Linux 托管式节点上使用不同的进程，以评估应该存在的补丁。

Linux

对于 Linux 修补，Systems Manager 会评估补丁基准规则以及 每个托管式节点上已批准和已被拒绝的补丁列表。Systems Manager 必须在每个节点上评估修补，因为该服务从托管式节点上配置的存储库中检索已知补丁和更新列表。

Windows

对于 Windows 修补，Systems Manager 直接在服务中评估补丁基准规则以及已批准和已拒绝的补丁列表。它可以执行此操作是因为 Windows 补丁从单个存储库 (Windows 更新) 拉取。

区别 2：Not Applicable 补丁

因为 Linux 操作系统有大量可用的软件包，所以 Systems Manager 不报告处于不适用状态的补丁的详细信息。例如，A Not Applicable 补丁是在实例未安装 Apache 时的 Apache 软件的补丁。Systems Manager 确实会在摘要中报告 Not Applicable 补丁的数量，但如果为某个托管式节点调用 DescribeInstancePatches API，则返回的数据中不包含状态为 Not Applicable 的补丁。这一行为不同于 Windows。

区别 3：SSM 文档支持

AWS-ApplyPatchBaseline Systems Manager 文档（SSM 文档）不支持 Linux 托管式节点。如需对 Linux、macOS 和 Windows Server 托管式节点应用补丁基准，则推荐的 SSM 文档是 AWS-RunPatchBaseline。有关更多信息，请参阅 适用于修补托管式节点的 SSM 命令文档 和 用于修补的 SSM 命令文档：AWS-RunPatchBaseline。

区别 4：应用程序补丁

Patch Manager 的主要目的是将补丁应用到操作系统。不过，您也可以使用 Patch Manager 将补丁应用到托管式节点上的某些应用程序。

Linux

在 Linux 操作系统上，Patch Manager 使用配置的存储库进行更新，不会区分操作系统补丁和应用程序补丁。您可以使用 Patch Manager 来定义从哪些存储库获取更新。有关更多信息，请参阅 如何指定备用补丁源存储库 (Linux)。

Windows

在 Windows Server 托管式节点上，您可以为 Microsoft 发布的应用程序（如 Microsoft Word 2016 和 Microsoft Exchange Server 2016）应用已批准规则，以及已批准和已被拒绝补丁例外。有关更多信息，请参阅 使用自定义补丁基准。

区别 5：自定义补丁基准中已拒绝的补丁列表选项

创建自定义补丁基准时，您可以为此已拒绝的补丁列表指定一个或多个补丁。对于 Linux 托管节点，如果它们是基准允许的其他补丁的依赖项，则也可以选择允许安装它们。

但是，Windows Server 不支持补丁依赖项的概念。您可以将补丁添加到 Windows Server 的自定义基准的已拒绝的补丁列表中，但结果取决于（1）被拒绝的补丁是否已安装在托管节点上，以及（2）您为被拒绝的补丁操作选择了哪个选项。

有关 Windows Server 上已拒绝的补丁选项的详细信息，请参阅下表。

Microsoft 发布的每个 Windows Server 补丁通常都包含成功安装所需的所有信息。但是，有时可能需要必备程序包，您必须手动安装该程序包。 Patch Manager 不报告有关这些先决条件的信息。有关相关信息，请参阅 Microsoft 网站上的 Windows 更新问题排查。