Vordefinierte und benutzerdefinierte Patch-Baselines - AWS Systems Manager

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Vordefinierte und benutzerdefinierte Patch-Baselines

Patch Manager, ein Tool in AWS Systems Manager, bietet vordefinierte Patch-Baselines für jedes der Betriebssysteme, die unterstützt werden von Patch Manager. Sie können diese Baselines so verwenden, wie sie aktuell konfiguriert sind (Sie können sie nicht anpassen), oder Sie können Ihre eigenen benutzerdefinierten Patch-Baselines erstellen. Benutzerdefinierte Patch-Baselines ermöglichen Ihnen eine bessere Kontrolle darüber, welche Patches für Ihre Umgebung genehmigt oder abgelehnt werden. Außerdem weisen die vordefinierten Baselines allen Patches, die mit diesen Baselines installiert wurden, die Compliance-Ebene Unspecified zu. Für die Zuweisung von Compliance-Werten können Sie eine Kopie einer vordefinierten Baseline erstellen und die Compliance-Werte angeben, die Patches zugewiesen werden sollen. Weitere Informationen erhalten Sie unter Benutzerdefinierte Baselines und Arbeiten mit benutzerdefinierten Patch-Baselines.

Anmerkung

Die Informationen in diesem Thema gelten unabhängig davon, welche Methode oder Art der Konfiguration Sie für Ihren Patching-Vorgang verwenden:

  • Eine Patchrichtlinie, die konfiguriert ist in Quick Setup

  • Eine Hostverwaltungsoption, konfiguriert in Quick Setup

  • Ein Wartungsfenster zum Ausführen eines Patch-Scan oder einer Install-Aufgabe

  • Ein On-Demand-Jetzt patchen-Vorgang

Vordefinierte Baselines

In der folgenden Tabelle werden die vordefinierten Patch-Baselines beschrieben, die mit bereitgestellt werden Patch Manager.

Informationen zu den Versionen der einzelnen Betriebssysteme Patch Manager unterstützt, siehePatch Manager Voraussetzungen.

Name Unterstütztes Betriebssystem Details

AWS-AlmaLinuxDefaultPatchBaseline

AlmaLinux

Genehmigt alle Betriebssystem-Patches mit der Klassifizierung „Security“ und dem Schweregrad „Critical“ oder „Important“. Genehmigt außerdem alle Patches mit der Klassifizierung „Bugfix“. Patches werden sieben Tage nach ihrer Veröffentlichung oder Aktualisierung automatisch genehmigt.¹

AWS-AmazonLinuxDefaultPatchBaseline

Amazon Linux 1

Genehmigt alle Betriebssystem-Patches mit der Klassifizierung „Security“ und dem Schweregrad „Critical“ oder „Important“. Genehmigt außerdem automatisch alle Patches mit der Klassifizierung „Bugfix“. Patches werden sieben Tage nach ihrer Veröffentlichung oder Aktualisierung automatisch genehmigt.¹

AWS-AmazonLinux2DefaultPatchBaseline Amazon Linux 2 Genehmigt alle Betriebssystem-Patches mit der Klassifizierung „Security“ und dem Schweregrad „Critical“ oder „Important“. Genehmigt außerdem alle Patches mit der Klassifizierung „Bugfix“. Patches werden automatisch sieben Tage nach der Veröffentlichung genehmigt.¹
AWS-AmazonLinux2022DefaultPatchBaseline Amazon Linux 2022

Genehmigt alle Betriebssystem-Patches mit der Klassifizierung „Security“ und dem Schweregrad „Critical“ oder „Important“. Patches werden automatisch sieben Tage nach der Veröffentlichung genehmigt. Genehmigt außerdem alle Patches mit einer Klassifizierung „Bugfix“ sieben Tage nach der Veröffentlichung.

AWS-AmazonLinux2023DefaultPatchBaseline Amazon Linux 2023

Genehmigt alle Betriebssystem-Patches mit der Klassifizierung „Security“ und dem Schweregrad „Critical“ oder „Important“. Patches werden automatisch sieben Tage nach der Veröffentlichung genehmigt. Genehmigt außerdem alle Patches mit einer Klassifizierung „Bugfix“ sieben Tage nach der Veröffentlichung.

AWS-CentOSDefaultPatchBaseline CentOS und CentOS Stream Genehmigt alle Aktualisierungen sieben Tage nach ihrer Verfügbarkeit, einschließlich nicht sicherheitsrelevanter Aktualisierungen.
AWS-DebianDefaultPatchBaseline Debian Server Genehmigt sofort alle sicherheitsrelevanten Patches für Betriebssysteme mit der Priorität „Required“, „Important“, „Standard“, „Optional“ oder „Extra“. Die Genehmigung erfolgt unverzüglich, weil in den Repositorys keine zuverlässigen Datumsangaben zur Veröffentlichung verfügbar sind.
AWS-MacOSDefaultPatchBaseline macOS Genehmigt alle Betriebssystem-Patches mit der Klassifizierung „Security“. Genehmigt auch alle Pakete mit einem aktuellen Update.
AWS-OracleLinuxDefaultPatchBaseline Oracle Linux Genehmigt alle Betriebssystem-Patches mit der Klassifizierung „Security“ und dem Schweregrad „Important“ oder „Moderate“. Genehmigt außerdem alle als „Bugfix“ eingestuften Patches 7 Tage nach Veröffentlichung. Patches werden sieben Tage nach ihrer Veröffentlichung oder Aktualisierung automatisch genehmigt.¹
AWS-DefaultRaspbianPatchBaseline Raspberry Pi OS Genehmigt sofort alle sicherheitsrelevanten Patches für Betriebssysteme mit der Priorität „Required“, „Important“, „Standard“, „Optional“ oder „Extra“. Die Genehmigung erfolgt unverzüglich, weil in den Repositorys keine zuverlässigen Datumsangaben zur Veröffentlichung verfügbar sind.

AWS-RedHatDefaultPatchBaseline

Red Hat Enterprise Linux (RHEL)

Genehmigt alle Betriebssystem-Patches mit der Klassifizierung „Security“ und dem Schweregrad „Critical“ oder „Important“. Genehmigt außerdem alle Patches mit der Klassifizierung „Bugfix“. Patches werden sieben Tage nach ihrer Veröffentlichung oder Aktualisierung automatisch genehmigt.¹

AWS-RockyLinuxDefaultPatchBaseline

Rocky Linux

Genehmigt alle Betriebssystem-Patches mit der Klassifizierung „Security“ und dem Schweregrad „Critical“ oder „Important“. Genehmigt außerdem alle Patches mit der Klassifizierung „Bugfix“. Patches werden sieben Tage nach ihrer Veröffentlichung oder Aktualisierung automatisch genehmigt.¹

AWS-SuseDefaultPatchBaseline SUSE Linux Enterprise Server (SLES) Genehmigt alle Betriebssystem-Patches mit der Klassifizierung „Security“ und dem Schweregrad „Critical“ oder „Important“. Patches werden sieben Tage nach ihrer Veröffentlichung oder Aktualisierung automatisch genehmigt.¹

AWS-UbuntuDefaultPatchBaseline

Ubuntu Server

Genehmigt sofort alle sicherheitsrelevanten Patches für Betriebssysteme mit der Priorität „Required“, „Important“, „Standard“, „Optional“ oder „Extra“. Die Genehmigung erfolgt unverzüglich, weil in den Repositorys keine zuverlässigen Datumsangaben zur Veröffentlichung verfügbar sind.

AWS-DefaultPatchBaseline

Windows Server

Genehmigt alle Windows Server Betriebssystem-Patches, die als "oder" CriticalUpdates "klassifiziert sind und den MSRC-Schweregrad „Kritisch“ oder „Wichtig“ haben. SecurityUpdates Patches werden 7 Tage nach ihrer Veröffentlichung oder Aktualisierung automatisch genehmigt.²

AWS-WindowsPredefinedPatchBaseline-OS

Windows Server

Genehmigt alle Windows Server Betriebssystem-Patches, die als "oder" CriticalUpdates "klassifiziert sind und den MSRC-Schweregrad „Kritisch“ oder „Wichtig“ haben. SecurityUpdates Patches werden 7 Tage nach ihrer Veröffentlichung oder Aktualisierung automatisch genehmigt.²

AWS-WindowsPredefinedPatchBaseline-OS-Applications Windows Server Für den Windows Server Betriebssystem, genehmigt alle Patches, die als "oder" CriticalUpdates "klassifiziert sind und die den MSRC-Schweregrad „Kritisch“ oder „Wichtig“ haben. SecurityUpdates Genehmigt für von Microsoft veröffentlichte Anwendungen alle Patches. Patches für Betriebssysteme und Anwendungen werden 7 Tage nach ihrer Veröffentlichung oder Aktualisierung automatisch genehmigt.²

¹ Für Amazon Linux 1 und Amazon Linux 2 wird die 7-Tage-Wartezeit, bevor Patches automatisch genehmigt werden, aus einem Updated Date-Wert in updateinfo.xml und nicht aus einem Release Date-Wert berechnet. Verschiedene Faktoren können den Updated Date-Wert beeinflussen. Andere Betriebssysteme behandeln Veröffentlichungs- und Aktualisierungsdaten unterschiedlich. Informationen dazu, wie Sie unerwartete Ergebnisse durch Verzögerungen bei der automatischen Genehmigung vermeiden können, finden Sie unter So werden Veröffentlichungs- und Aktualisierungsdaten von Paketen berechnet.

² Für Windows Server, beinhalten die Standard-Baselines eine 7-tägige Verzögerung bei der automatischen Genehmigung. Um einen Patch innerhalb von 7 Tagen nach der Veröffentlichung zu installieren, müssen Sie eine benutzerdefinierte Baseline erstellen.

Benutzerdefinierte Baselines

Mithilfe der folgenden Informationen können Sie benutzerdefinierte Patch-Baselines erstellen, um Ihre Patching-Ziele zu erreichen.

Automatische Genehmigungen in benutzerdefinierten Baselines verwenden

Wenn Sie eine eigene Patch-Baseline herstellen, können Sie die Patches wahlweise automatisch genehmigen, indem Sie die folgenden Kategorien verwenden.

  • Betriebssystem: Windows Server, Amazon Linux, Ubuntu Server, und so weiter.

  • Produktname (für Betriebssysteme): Zum Beispiel RHEL 6.5, Amazon Linux 2014,09, Windows Server 2012, Windows Server 2012 R2 und so weiter.

  • Produktname (für von Microsoft veröffentlichte Anwendungen am Windows Server nur): Zum Beispiel Word 2016, BizTalk Server usw.

  • Klassifizierung: Beispielsweise kritische Updates, Sicherheitsupdates usw.

  • Schweregrad: Beispielsweise kritisch, wichtig usw.

Für jede von Ihnen erstellte Genehmigungsregel können Sie eine Verzögerung für die automatische Genehmigung oder ein Stichdatum für die Patch-Genehmigung angeben.

Anmerkung

Weil es nicht möglich ist, die Veröffentlichungsdaten von Updatepaketen für zuverlässig zu ermitteln Ubuntu Server, die Optionen für die automatische Genehmigung werden für dieses Betriebssystem nicht unterstützt.

Eine Verzögerung der automatischen Genehmigung ist die Anzahl an Tagen, die gewartet werde soll, nachdem die Patch veröffentlicht oder zuletzt aktualisiert wurde, bevor der Patch automatisch genehmigt wird. Wenn Sie beispielsweise eine Regel mit der CriticalUpdates-Klassifizierung erstellen und für sie für eine Verzögerung der automatischen Genehmigung von sieben Tagen konfigurieren, wird ein neuer kritischer Patch, der am 7. Juli veröffentlicht wird, am 14. Juli automatisch genehmigt.

Wenn ein Linux-Repository keine Informationen zum Veröffentlichungsdatum von Paketen bereitstellt, verwendet Systems Manager die Erstellungszeit des Pakets als Verzögerung für die automatische Genehmigung für Amazon Linux 1, Amazon Linux 2. RHELund CentOS. Wenn das System nicht in der Lage ist, den Buildzeitpunkt des Pakets zu ermitteln, verwendet Systems Manager für die Festlegung der Verzögerung bis zur automatischen Genehmigung den Wert Null.

Wenn Sie einen Stichtag für die automatische Genehmigung angeben, Patch Manager wendet automatisch alle Patches an, die an oder vor diesem Datum veröffentlicht oder zuletzt aktualisiert wurden. Wenn Sie beispielsweise den 07. Juli 2023 als Stichtag angeben, werden keine Patches automatisch installiert, die an oder nach dem 08. Juli 2023 veröffentlicht oder zuletzt aktualisiert wurden.

Wenn Sie eine benutzerdefinierte Patch-Baseline erstellen, können Sie für Patches, die von dieser Patch-Baseline genehmigt wurden, einen Schweregrad für die Konformität angeben, beispielsweise Critical oder High. Wenn der Patch-Status eines genehmigten Patches als Missing gemeldet wird, dann ist der insgesamt gemeldete Konformitätsschweregrad der Patch-Baseline der von Ihnen angegebene Schweregrad.

Zusätzliche Informationen zum Erstellen von Patch-Baselines

Beachten Sie bei der Erstellung einer Patch-Baseline Folgendes:

  • Patch Manager stellt eine vordefinierte Patch-Baseline für jedes unterstützte Betriebssystem bereit. Diese vordefinierten Patch-Baselines werden als Standard-Patch-Baselines für alle Betriebssystemtypen verwendet, wenn Sie nicht eigene Patch-Baselines erstellen und diese als Standard für den jeweiligen Betriebssystemtyp festlegen.

    Anmerkung

    Wählen Sie in der &Snowconsole; Ihren Auftrag aus der Tabelle. Windows Server, werden drei vordefinierte Patch-Baselines bereitgestellt. Die Patch-Baselines AWS-DefaultPatchBaseline und AWS-WindowsPredefinedPatchBaseline-OS unterstützen nur Betriebssystemupdates auf dem Windows-Betriebssystem selbst. AWS-DefaultPatchBaselinewird als Standard-Patch-Baseline verwendet für Windows Server verwaltete Knoten, sofern Sie keine andere Patch-Baseline angeben. Die Konfigurationseinstellungen in diesen beiden Patch-Baselines sind identisch. Die neuere der beiden,, wurde erstelltAWS-WindowsPredefinedPatchBaseline-OS, um sie von der dritten vordefinierten Patch-Baseline für zu unterscheiden Windows Server. Diese Patch-BaselineAWS-WindowsPredefinedPatchBaseline-OS-Applications,, kann verwendet werden, um Patches auf beide anzuwenden Windows Server Betriebssystem und unterstützte Anwendungen, die von Microsoft veröffentlicht wurden.

  • Standardmäßig Windows Server 2019 und Windows Server 2022 entfernen Sie Updates, die durch spätere Updates ersetzt werden. Wenn Sie den ApproveUntilDate Parameter also in einem verwenden Windows Server Patch-Baseline, aber das im ApproveUntilDate Parameter gewählte Datum liegt vor dem Datum des letzten Patches, dann wird der neue Patch nicht installiert, wenn der Patchvorgang ausgeführt wird. Weitere Informationen zur Windows Server Patch-Regeln finden Sie im Windows Server Tabulatortaste eingebenWie Sicherheitspatches ausgewählt werden.

    Das bedeutet, dass der verwaltete Knoten die Anforderungen des Systems-Manager-Betriebs erfüllt, auch wenn ein kritischer Patch aus dem Vormonat möglicherweise nicht installiert wurde. Das gleiche Szenario kann bei Verwendung des ApproveAfterDays-Parameters auftreten. Aufgrund des Patch-Verhaltens, das Microsoft ersetzt hat, ist es möglich, eine Zahl festzulegen (in der Regel mehr als 30 Tage), sodass Patches für Windows Server werden niemals installiert, wenn der neueste verfügbare Patch von Microsoft veröffentlicht wird, bevor die Anzahl der Tage ApproveAfterDays verstrichen ist.

  • Für lokale Server und virtuelle Maschinen () VMs Patch Manager versucht, Ihre benutzerdefinierte Standard-Patch-Baseline zu verwenden. Wenn keine benutzerdefinierte Standard-Patch-Baseline vorhanden ist, verwendet das System die vordefinierte Patch-Baseline für das entsprechende Betriebssystem.

  • Wenn ein Patch sowohl als genehmigt als auch als abgelehnt aufgelistet ist, wird der Patch abgelehnt.

  • Für einen verwalteten Knoten kann nur eine einzige Patch-Baseline definiert werden.

  • Die Formate der Paketnamen, die Sie zu den Listen der genehmigten und abgelehnten Patches für eine Patch-Baseline hinzufügen können, hängen von der Art des Betriebssystems ab, das gepatcht wird.

    Weitere Informationen zu akzeptierten Formaten für Listen genehmigter und abgelehnter Patches finden Sie unter Paketnamen-Formate für genehmigte und abgelehnte Patch-Listen.

  • Wenn Sie eine Patch-Richtlinienkonfiguration in verwenden Quick Setup, werden Aktualisierungen, die Sie an benutzerdefinierten Patch-Baselines vornehmen, synchronisiert mit Quick Setup einmal pro Stunde.

    Wenn eine benutzerdefinierte Patch-Baseline gelöscht wird, auf die in einer Patch-Richtlinie verwiesen wurde, wird ein Banner auf der Quick Setup Seite mit den Konfigurationsdetails für Ihre Patch-Richtlinie. Das Banner informiert Sie darüber, dass die Patch-Richtlinie auf eine nicht mehr vorhandene Patch-Baseline verweist und nachfolgende Patching-Vorgänge fehlschlagen werden. Kehren Sie in diesem Fall zur Quick Setup Wählen Sie auf der Seite „Konfigurationen“ die Patch Manager Konfiguration und wählen Sie Aktionen, Konfiguration bearbeiten aus. Der Name der gelöschten Patch-Baseline wird hervorgehoben, und Sie müssen eine neue Patch-Baseline für das betroffene Betriebssystem auswählen.

Informationen zum Erstellen einer Patch-Baseline finden Sie unter Arbeiten mit benutzerdefinierten Patch-Baselines und Tutorial: Patchen Sie eine Serverumgebung mit dem AWS CLI.