Linux 和 Windows Server 之間的修補操作差異

本主題說明 AWS Systems Manager 的 Patch Manager 功能中 Linux 與 Windows Server 修補之間的重要差異。

差異 1：修補程式評估

Patch Manager 會在 Windows 受管節點以及 Linux 受管節點上使用不同的程序，藉此評估哪些修補程式應該出現。

Linux

對於 Linux 修補，Systems Manager 會評估修補基準規則，以及每個受管節點上已核准與已拒絕修補程式的清單。Systems Manager 必須評估各個節點上的修補，因為服務會從受管節點上已設定的儲存庫擷取已知修補程式與更新的清單。

Windows

對於 Windows 修補，Systems Manager 會直接在服務中評估修補基準規則，以及已核准與已拒絕修補程式的清單。它可以這麼做，因為 Windows 修補程式皆來自於單一儲存庫 (Windows Update)。

差異 2：Not Applicable 修補程式

由於 Linux 作業系統有大量的可用套件，Systems Manager 不會報告狀態為不適用之修補程式的詳細資訊。例如，執行個體未安裝 Apache 時，Not Applicable 修補程式是 Apache 軟體的修補程式。Systems Manager 不會在摘要中報告 Not Applicable 修補程式的數目，但是如果您為受管節點呼叫 DescribeInstancePatches API，則傳回的資料不會包含狀態為 Not Applicable 的修補程式。此行為不同於 Windows。

差異 3：SSM 文件支援

AWS-ApplyPatchBaseline Systems Manager 文件 (SSM 文件) 不支援 Linux 受管節點。若要將修補基準套用至 Linux、macOS 和 Windows Server 受管節點，建議的 SSM 文件是 AWS-RunPatchBaseline。如需詳細資訊，請參閱 用於修補受管節點的 SSM 命令文件 和 用於修補的 SSM 命令文件：AWS-RunPatchBaseline。

差異 4：應用程式修補程式

Patch Manager 的主要重點是將修補程式套用到作業系統。不過，您也可以使用 Patch Manager 在您受管節點的一些應用程式上套用修補程式。

Linux

在 Linux 作業系統上，Patch Manager 會使用已設定儲存庫進行更新，且不會區分作業系統和應用程式的修補程式。您可以使用 Patch Manager 來定義要擷取更新的儲存庫。如需詳細資訊，請參閱如何指定替代修補程式來源儲存庫 (Linux)。

Windows

在 Windows Server 受管節點上，您可以為 Microsoft 發佈的應用程式 (如 Microsoft Word 2016 和 Microsoft Exchange Server 2016) 套用核准規則以及已核准和已拒絕的修補程式例外狀況。如需詳細資訊，請參閱使用自訂修補基準。

差異 5：自訂修補基準中遭拒的修補程式清單選項

建立自訂修補基準時，可以為遭拒的修補程式清單指定一個或多個修補程式。對於 Linux 受管節點，如果它們是基準允許的其他修補程式的相依性，您也可以選擇允許安裝它們。

然而，Windows Server 不支援修補程式相依性的概念。您可以在 Windows Server 自訂基準中的遭拒的修補程式清單中新增修補程式，但結果取決於 (1) 是否已在受管節點上安裝拒絕的修補程式，以及 (2) 您為拒絕的修補程式動作選擇哪個選項。

如需有關 Windows Server 上遭拒的修補程式選項的詳細資訊，請參閱下表。

Microsoft 發行的每個 Windows Server 修補程式通常都包含成功安裝所需的全部資訊。不過，有時可能需要您必須手動安裝的先決條件套件。Patch Manager 不會報告這些先決條件的相關資訊。如需相關資訊，請參閱 Microsoft 網站上的 Windows Update 問題疑難解答。