建立 Windows Server 的自訂修補基準

建立自訂修補基準 (Windows)

1. 開啟位於 https://console.aws.amazon.com/systems-manager/ 的 AWS Systems Manager 主控台。

2. 在導覽窗格中，選擇 Patch Manager。

3. 選擇修補基準索引標籤，然後選擇建立修補基準。

   -或-

   如果您是第一次在目前的 AWS 區域 存取 Patch Manager，請選擇從概觀開始，然後選擇修補基準索引標籤，接著再選擇建立修補基準。

4. 在 Name (名稱) 中，為新的修補基準輸入一個名稱，例如 MyWindowsPatchBaseline。

5. (選用) 在 Description (描述) 中，輸入此修補基準的描述。

6. 在 Operating system (作業系統) 中，選擇 Windows。

7. 如果要在建立 Windows 時立即開始將此修補基準做為 Windows 的預設設定，請選擇 Set this patch baseline as the default patch baseline for Windows Server instances (將此修補基準設為 Windows Server 執行個體的預設修補基準)。

   注意

   唯有當您在 2022 年 12 月 22 日修補程式政策發行前第一次存取 Patch Manager，才能使用此選項。

   如需有關設定現有修補基準為預設的更多資訊，請參閱 將現有的修補基準設為預設值 (主控台)。

8. 在 Approval rules for operating system (作業系統核准規則) 部分中，使用欄位來建立一或多個自動核准規則。

   • 產品：此核准規則適用的作業系統版本，例如 WindowsServer2012。預設的選取為 All。

   • Classification (分類)：此核准規則適用的修補程式類型，例如 CriticalUpdates、Drivers 和 Tools。預設的選取為 All。

     提示

     透過包含 ServicePacks 或在 Classification (分類) 清單中選擇 All，您可以在核准規則中包含 Windows Service Pack 安裝。如需範例，請參閱教學課程：使用主控台建立安裝 Windows Service Pack 的修補基準。

   • 核准規則 (嚴重性)：此規則適用的修補程式嚴重性值，例如 Critical。預設的選取為 All。

   • Auto-approval (自動核准)：選取修補程式以進行自動核准的方法。

     • Approve patches after a specified number of days (指定天數之後核准修補程式)：修補程式發行或更新之後，Patch Manager 自動核准修補程式之前的等待天數。您可以輸入零 (0) 到 360 的任何整數。在大部分情形下，建議等候不要超過 100 天。

     • Approve patches released up to a specific date (核准特定日期前發布的修補程式)：Patch Manager 會自動套用在此發行或更新日期當天或之前發行的所有修補程式。例如，如果您指定 2023 年 7 月 7 日，則不會自動安裝在 2023 年 7 月 8 日或之後發行或最後更新的修補程式。

   • (選用) Compliance reporting (合規報告)：您要指派給基準所核准之修補程式的嚴重性等級，例如 High。

     注意

     如果您指定合規報告等級，且任何核准之修補程式的修補程式狀態回報為 Missing，則修補基準的整體報告合規嚴重性是您指定的嚴重性等級。

9. (選用) 在 Approval rules for applications (應用程式的核准規則) 區段中，使用這些欄位建立一個或多個自動核准規則。

   注意

   您可以將已核准和已拒絕修補程式清單指定為修補程式例外狀況，而不是指定核准規則。請參閱步驟 10 和 11。

   • Product family (產品系列)：您想指定規則的一般 Microsoft 產品系列，例如 Office 或 Exchange Server。

   • 產品：核准規則適用的應用程式版本，例如 Office 2016 或 Active Directory Rights Management Services Client 2.0 2016。預設的選取為 All。

   • Classification (分類)：此核准規則適用的修補程式類型，例如 CriticalUpdates。預設的選取為 All。

   • 核准規則 (嚴重性)：此規則適用的修補程式嚴重性值，例如 Critical。預設的選取為 All。

   • Auto-approval (自動核准)：選取修補程式以進行自動核准的方法。

     • Approve patches after a specified number of days (指定天數之後核准修補程式)：修補程式發行或更新之後，Patch Manager 自動核准修補程式之前的等待天數。您可以輸入零 (0) 到 360 的任何整數。在大部分情形下，建議等候不要超過 100 天。

     • Approve patches released up to a specific date (核准特定日期前發布的修補程式)：Patch Manager 會自動套用在此發行或更新日期當天或之前發行的所有修補程式。例如，如果您指定 2023 年 7 月 7 日，則不會自動安裝在 2023 年 7 月 8 日或之後發行或最後更新的修補程式。

   • (選用) 合規報告：您要指派給基準所核准之修補程式的嚴重性等級，例如 Critical 或 High。

     注意

     如果您指定合規報告等級，且任何核准之修補程式的修補程式狀態回報為 Missing，則修補基準的整體報告合規嚴重性是您指定的嚴重性等級。

10. (選用) 如果您想要明確核准任何修補程式，而非依據核准規則選取修補程式，請在 Patch exceptions (修補程式例外狀況) 區段中進行以下操作：

    • 在 Approved patches (核准的修補程式)，輸入您要核准之修補程式的逗號分隔清單。

      注意

      如需已核准修補程式和已拒絕修補程式清單之可接受格式的相關資訊，請參閱 已核准與遭拒的修補程式清單的套件名稱格式。

    • (選用) 在 Approved patches compliance level (核准的修補程式合規層級)中，將合規層級指派至清單中的修補程式。

11. 如果您要明確拒絕任何符合核准規則之修補程式，請在 Patch exceptions (修補程式例外狀況) 部分執行下列動作：

    • 在 Rejected patches (拒絕的修補程式) 中，輸入您要拒絕之修補程式的逗號分隔清單。

      注意

      如需已核准修補程式和已拒絕修補程式清單之可接受格式的相關資訊，請參閱 已核准與遭拒的修補程式清單的套件名稱格式。

    • 在 Rejected patches action (已拒絕修補程式動作) 中，選擇要讓 Patch Manager在 Rejected patches (已拒絕修補程式) 清單所包含之修補程式上執行的動作。

      • 當做相依性允許：Windows Server 不支援套件相依性的概念。如果遭拒的修補程式清單中的套件已安裝在節點上，則會將其狀態回報為 INSTALLED_OTHER。任何尚未安裝在節點上的套件都會被略過。

      • 封鎖：在任何情況下，Patch Manager 都不會安裝遭拒的修補程式清單中的套件。如果在遭拒的修補程式清單中新增套件之前即安裝該套件，或在之後於 Patch Manager 外部安裝該套件，則會被視為不符合修補基準，並且會將其狀態回報為 INSTALLED_REJECTED。

      如需有關遭拒的套件動作的詳細資訊，請參閱自訂修補基準中遭拒的修補程式清單選項。

12. (選用) 對於 Manage tags (管理標籤)，請套用一或多個索引鍵名稱/值對至修補基準。

    標籤是您指派給資源的選用性中繼資料。標籤允許您以不同的方式 (例如用途、擁有者或環境) 將資源分類。例如，您可能希望標記修補基準，以識別其指定的修補程式的嚴重性等級、其適用的作業系統系列，以及環境類型。在這種情況下，您可以指定類似以下索引鍵名稱/值對的標籤：

    • Key=PatchSeverity,Value=Critical

    • Key=OS,Value=RHEL

    • Key=Environment,Value=Production

13. 選擇 Create patch baseline (建立修補基準)。