• 2026 年 4 月 30 日之後將不再提供 AWS Systems Manager CloudWatch Dashboard。客戶可以繼續使用 Amazon CloudWatch 主控台來檢視、建立和管理其 Amazon CloudWatch 儀表板,就像現在一樣。如需詳細資訊,請參閱 [Amazon CloudWatch Dashboard 文件](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html)。 本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 建立 Windows Server 的自訂修補基準 請使用下列程序在 Patch Manager ( AWS Systems Manager中的工具) 中建立 Windows 受管節點的自訂修補基準。 如需為 Linux 受管節點建立修補基準的資訊,請參閱 [建立適用於 Linux 的自訂修補基準](patch-manager-create-a-patch-baseline-for-linux.md)。如需有關建立 macOS 受管節點的修補基準的詳細資訊,請參閱[建立 macOS 的自訂修補基準](patch-manager-create-a-patch-baseline-for-macos.md)。 如需建立僅限於安裝 Windows Service Pack 之修補基準的範例,請參閱[教學課程:使用主控台建立安裝 Windows Service Pack 的修補基準](patch-manager-windows-service-pack-patch-baseline-tutorial.md)。 **建立自訂修補基準 (Windows)** 1. 在 https://[https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/) 開啟 AWS Systems Manager 主控台。 1. 在導覽窗格中,選擇 **Patch Manager**。 1. 選擇**修補基準**索引標籤,然後選擇**建立修補基準**。 -或- 如果您是第一次在目前的 AWS 區域存取 Patch Manager,請選擇**從概觀開始**,然後選擇**修補基準**索引標籤,接著再選擇**建立修補基準**。 1. 在 **Name (名稱)** 中,為新的修補基準輸入一個名稱,例如 `MyWindowsPatchBaseline`。 1. (選用) 在 **Description (描述)** 中,輸入此修補基準的描述。 1. 在 **Operating system (作業系統)** 中,選擇 `Windows`。 1. 在**可用的安全性更新合規狀態**中,選擇您要指派給可用但未經核准的安全修補程式的狀態,因為這些修補程式不符合修補基準、**不合規**或**合規**中指定的安裝條件。 範例案例:如果您已指定在修補程式發布後、安裝前需要等待很長的時間,則可以略過您可能想要安裝的安全修補程式。如果在指定的等待期間發布了修補程式更新,安裝修補程式的等待期間會重新開始。如果等待期間過長,可以發布多個版本的修補程式,但絕不會安裝。 1. 如果要在建立 Windows 時立即開始將此修補基準做為 Windows 的預設設定,請選擇 **Set this patch baseline as the default patch baseline for Windows Server instances (將此修補基準設為 Windows Server 執行個體的預設修補基準)**。 **注意** 唯有當您在 2022 年 12 月 22 日[修補程式政策](patch-manager-policies.md)發行前第一次存取 Patch Manager,才能使用此選項。 如需有關設定現有修補基準為預設的更多資訊,請參閱 [將現有的修補基準設為預設值 (主控台)](patch-manager-default-patch-baseline.md)。 1. 在 **Approval rules for operating system (作業系統核准規則)** 部分中,使用欄位來建立一或多個自動核准規則。 + **產品**:此核准規則適用的作業系統版本,例如 `WindowsServer2012`。預設的選取為 `All`。 + **Classification (分類)**:此核准規則適用的修補程式類型,例如 `CriticalUpdates`、`Drivers` 和 `Tools`。預設的選取為 `All`。 **提示** 透過包含 `ServicePacks` 或在 **Classification** (分類) 清單中選擇 `All`,您可以在核准規則中包含 Windows Service Pack 安裝。如需範例,請參閱 [教學課程:使用主控台建立安裝 Windows Service Pack 的修補基準](patch-manager-windows-service-pack-patch-baseline-tutorial.md)。 + **核准規則 (嚴重性)**:此規則適用的修補程式嚴重性值,例如 `Critical`。預設的選取為 `All`。 + **Auto-approval (自動核准)**:選取修補程式以進行自動核准的方法。 + **Approve patches after a specified number of days** (指定天數之後核准修補程式):修補程式發行或更新之後,Patch Manager 自動核准修補程式之前的等待天數。您可以輸入零 (0) 到 360 的任何整數。在大部分情形下,建議等候不要超過 100 天。 + **Approve patches released up to a specific date** (核准特定日期前發布的修補程式):Patch Manager 會自動套用在此發行或更新日期當天或之前發行的所有修補程式。例如,如果您指定 2023 年 7 月 7 日,則不會自動安裝在 2023 年 7 月 8 日或之後發行或最後更新的修補程式。 + (選用) **Compliance reporting (合規報告)**:您要指派給基準所核准之修補程式的嚴重性等級,例如 `High`。 **注意** 如果您指定合規報告等級,且任何核准之修補程式的修補程式狀態回報為 `Missing`,則修補基準的整體報告合規嚴重性是您指定的嚴重性等級。 1. (選用) 在 **Approval rules for applications** (應用程式的核准規則) 區段中,使用這些欄位建立一個或多個自動核准規則。 **注意** 您可以將已核准和已拒絕修補程式清單指定為修補程式例外狀況,而不是指定核准規則。請參閱步驟 10 和 11。 + **Product family (產品系列)**:您想指定規則的一般 Microsoft 產品系列,例如 `Office` 或 `Exchange Server`。 + **產品**:核准規則適用的應用程式版本,例如 `Office 2016` 或 `Active Directory Rights Management Services Client 2.0 2016`。預設的選取為 `All`。 + **Classification (分類)**:此核准規則適用的修補程式類型,例如 `CriticalUpdates`。預設的選取為 `All`。 + **核准規則 (嚴重性)**:此規則適用的修補程式嚴重性值,例如 `Critical`。預設的選取為 `All`。 + **Auto-approval (自動核准)**:選取修補程式以進行自動核准的方法。 + **Approve patches after a specified number of days** (指定天數之後核准修補程式):修補程式發行或更新之後,Patch Manager 自動核准修補程式之前的等待天數。您可以輸入零 (0) 到 360 的任何整數。在大部分情形下,建議等候不要超過 100 天。 + **Approve patches released up to a specific date** (核准特定日期前發布的修補程式):Patch Manager 會自動套用在此發行或更新日期當天或之前發行的所有修補程式。例如,如果您指定 2023 年 7 月 7 日,則不會自動安裝在 2023 年 7 月 8 日或之後發行或最後更新的修補程式。 + (選用) **合規報告**:您要指派給基準所核准之修補程式的嚴重性等級,例如 `Critical` 或 `High`。 **注意** 如果您指定合規報告等級,且任何核准之修補程式的修補程式狀態回報為 `Missing`,則修補基準的整體報告合規嚴重性是您指定的嚴重性等級。 1. (選用) 如果您想要明確核准任何修補程式,而非依據核准規則選取修補程式,請在 **Patch exceptions** (修補程式例外狀況) 區段中進行以下操作: + 在 **Approved patches (核准的修補程式)**,輸入您要核准之修補程式的逗號分隔清單。 如需已核准修補程式和已拒絕修補程式清單之可接受格式的相關資訊,請參閱 [已核准與遭拒的修補程式清單的套件名稱格式](patch-manager-approved-rejected-package-name-formats.md)。 + (選用) 在 **Approved patches compliance level (核准的修補程式合規層級)**中,將合規層級指派至清單中的修補程式。 1. 如果您要明確拒絕任何符合核准規則之修補程式,請在 **Patch exceptions (修補程式例外狀況)** 部分執行下列動作: + 在 **Rejected patches (拒絕的修補程式)** 中,輸入您要拒絕之修補程式的逗號分隔清單。 如需已核准修補程式和已拒絕修補程式清單之可接受格式的相關資訊,請參閱 [已核准與遭拒的修補程式清單的套件名稱格式](patch-manager-approved-rejected-package-name-formats.md)。 + 在 **Rejected patches action** (已拒絕修補程式動作) 中,選擇要讓 Patch Manager在 **Rejected patches** (已拒絕修補程式) 清單所包含之修補程式上執行的動作。 + **當做相依性允許**:Windows Server 不支援套件相依性的概念。如果**遭拒的修補程式**清單中的套件已安裝在節點上,則會將其狀態回報為 `INSTALLED_OTHER`。任何尚未安裝在節點上的套件都會被略過。 + **封鎖**:在任何情況下,Patch Manager 都不會安裝**遭拒的修補程式**清單中的套件。如果在**遭拒的修補程式**清單中新增套件之前即安裝該套件,或在之後於 Patch Manager 外部安裝該套件,則會被視為不符合修補基準,並且會將其狀態回報為 `INSTALLED_REJECTED`。 如需有關遭拒的套件動作的詳細資訊,請參閱[自訂修補基準中遭拒的修補程式清單選項](patch-manager-windows-and-linux-differences.md#rejected-patches-diff)。 1. (選用) 對於 **Manage tags (管理標籤)**,請套用一或多個索引鍵名稱/值對至修補基準。 標籤是您指派給資源的選用性中繼資料。標籤允許您以不同的方式 (例如用途、擁有者或環境) 將資源分類。例如,您可能希望標記修補基準,以識別其指定的修補程式的嚴重性等級、其適用的作業系統系列,以及環境類型。在這種情況下,您可以指定類似以下索引鍵名稱/值對的標籤: + `Key=PatchSeverity,Value=Critical` + `Key=OS,Value=RHEL` + `Key=Environment,Value=Production` 1. 選擇 **Create patch baseline (建立修補基準)**。