修補 Microsoft 在 上發行的應用程式 Windows Server - AWS Systems Manager

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

修補 Microsoft 在 上發行的應用程式 Windows Server

使用此主題中的資訊,協助您準備在 上修補應用程式 Windows Server 使用 Patch Manager, 的功能 AWS Systems Manager。

Microsoft 應用程式修補

修補對 上的應用程式的支援 Windows Server 受管節點僅限於 Microsoft 發行的應用程式。

注意

在某些情況下,Microsoft 會針對未指定更新日期和時間的應用程式發行修補程式。在這些情況下,預設會提供 01/01/1970 的更新日期和時間。

修補由 Microsoft 發行之應用程式的修補基準

用於 Windows Server,提供了三個預先定義的修補程式基準。修補程式基準AWS-DefaultPatchBaseline和 僅AWS-WindowsPredefinedPatchBaseline-OS支援 Windows 作業系統本身的作業系統更新。 AWS-DefaultPatchBaseline 會用作 的預設修補程式基準 Windows Server 受管節點,除非您指定不同的修補程式基準。這兩個修補基準中的組態設定是相同的。兩者的較新版本 AWS-WindowsPredefinedPatchBaseline-OS的建立,是為了區別其與 的第三個預先定義修補程式基準 Windows Server。 該修補程式基準 AWS-WindowsPredefinedPatchBaseline-OS-Applications可用來將修補程式套用至 Windows Server 作業系統和 Microsoft 發行的支援應用程式。

您也可以建立自訂修補程式基準,以更新 Microsoft 於 發行的應用程式 Windows Server 機器。

支援修補 Microsoft 在內部部署伺服器、邊緣裝置VMs、 和其他非EC2節點上發行的應用程式

若要修補 Microsoft 在虛擬機器 (VMs) 和其他非EC2受管節點上發行的應用程式,您必須開啟進階執行個體層。使用 advanced-instance 方案會產生費用。不過,在 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體上修補 Microsoft 發行的應用程式無需額外付費。如需詳細資訊,請參閱設定執行個體方案

「其他 Microsoft 產品」的 Windows 更新選項

為了 Patch Manager 能夠修補 Microsoft 在 上發行的應用程式 Windows Server 受管節點,Windows Update 選項 當我更新 Windows 時,必須在受管節點上啟用其他 Microsoft 產品的更新

如需在單一受管節點上允許此選項的相關資訊,請參閱使用 Microsoft Update 更新 Office (位於 Microsoft Support 網站)。

對於執行 的受管節點機群 Windows Server 2016 及更新版本,您可以使用群組政策物件 (GPO) 來開啟設定。在群組政策管理編輯器中,移至 Computer Configuration (電腦組態)、Administrative Templates (管理範本)、Windows Components (Windows 元件)、Windows Updates (Windows 更新),然後選擇 Install updates for other Microsoft products (為其他 Microsoft 產品安裝更新)。我們也建議使用GPO其他參數來設定 ,以防止意外自動更新和在 之外重新啟動 Patch Manager。 如需詳細資訊,請參閱 Microsoft 技術文件網站上的在非 Active Directory 環境中設定自動更新

對於執行 的受管節點機群 Windows Server 2012 或 2012 R2 中,您可以使用指令碼來開啟 選項,如在 Microsoft Docs 部落格網站上透過指令碼在 Windows 7 中啟用和停用 Microsoft Update 中所述。例如,您可以執行下列操作:

  1. 將部落格文章中的指令碼儲存在檔案中。

  2. 將檔案上傳至 Amazon Simple Storage Service (Amazon S3) 儲存貯體或其他可存取的位置。

  3. 使用 Run Command是 的功能 AWS Systems Manager,可使用 Systems Manager 文件 (SSM 文件) AWS-RunPowerShellScript搭配類似下列的命令,在受管節點上執行指令碼。

    Invoke-WebRequest `
    -Uri "https://s3.aws-api-domain/amzn-s3-demo-bucket/script.vbs" `
    -Outfile "C:\script.vbs" cscript c:\script.vbs
最低參數要求

若要在自定修補基準中包含 Microsoft 發行的應用程式,您至少必須指定要修補的產品。下列 AWS Command Line Interface (AWS CLI) 命令示範修補產品的最低需求,例如 Microsoft Office 2016。

Linux & macOS
aws ssm create-patch-baseline \
    --name "My-Windows-App-Baseline" \
    --approval-rules "PatchRules=[{PatchFilterGroup={PatchFilters=[{Key=PRODUCT,Values='Office 2016'},{Key=PATCH_SET,Values='APPLICATION'}]},ApproveAfterDays=5}]"
Windows Server
aws ssm create-patch-baseline ^
    --name "My-Windows-App-Baseline" ^
    --approval-rules "PatchRules=[{PatchFilterGroup={PatchFilters=[{Key=PRODUCT,Values='Office 2016'},{Key=PATCH_SET,Values='APPLICATION'}]},ApproveAfterDays=5}]"

如果您指定了 Microsoft 應用程式產品系列,則您指定的每個產品都必須是所選產品系列的受支援成員。例如,若要修補產品「Active Directory Rights Management Services Client 2.0」,您必須將其產品系列指定為「Active Directory」,而不是「Office」或「SQL Server」。下列 AWS CLI 命令示範 產品系列和 產品的相符配對。

Linux & macOS
aws ssm create-patch-baseline \
    --name "My-Windows-App-Baseline" \
    --approval-rules "PatchRules=[{PatchFilterGroup={PatchFilters=[{Key=PRODUCT_FAMILY,Values='Active Directory'},{Key=PRODUCT,Values='Active Directory Rights Management Services Client 2.0'},{Key=PATCH_SET,Values='APPLICATION'}]},ApproveAfterDays=5}]"
Windows Server
aws ssm create-patch-baseline ^
    --name "My-Windows-App-Baseline" ^
    --approval-rules "PatchRules=[{PatchFilterGroup={PatchFilters=[{Key=PRODUCT_FAMILY,Values='Active Directory'},{Key=PRODUCT,Values='Active Directory Rights Management Services Client 2.0'},{Key=PATCH_SET,Values='APPLICATION'}]},ApproveAfterDays=5}]"
注意

如果您收到有關不相符產品與家庭配對的錯誤訊息,請參閱 問題:產品系列/產品配對不相符,以取得解決問題的協助。