Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Info zu vordefinierten und benutzerdefinierten Patch-Baselines
Patch Manager, eine Funktion von AWS Systems Manager, bietet vordefinierte Patch-Baselines für jedes der von unterstützten BetriebssystemePatch Manager. Sie können diese Baselines in ihrer aktuellen Konfiguration verwenden (eine Anpassung ist nicht möglich) oder eigene benutzerdefinierte Patch-Baselines erstellen. Benutzerdefinierte Patch-Baselines ermöglichen Ihnen eine bessere Kontrolle darüber, welche Patches für Ihre Umgebung genehmigt oder abgelehnt werden. Außerdem weisen die vordefinierten Baselines allen Patches, die mit diesen Baselines installiert wurden, die Compliance-Ebene Unspecified
zu. Für die Zuweisung von Compliance-Werten können Sie eine Kopie einer vordefinierten Baseline erstellen und die Compliance-Werte angeben, die Patches zugewiesen werden sollen. Weitere Informationen finden Sie unter Info zu benutzerdefinierten Baselines und Arbeiten mit benutzerdefinierten Patch-Baselines.
Anmerkung
Die Informationen in diesem Thema gelten unabhängig davon, welche Methode oder Art der Konfiguration Sie für Ihren Patching-Vorgang verwenden:
-
Eine in Quick Setup konfigurierte Patch-Richtlinie
-
Eine in Quick Setup konfigurierte Host-Management-Option
-
Ein Wartungsfenster zum Ausführen eines Patch-
Scan
s oder einerInstall
-Aufgabe -
Eine On-Demand Patch now (Jetzt patchen)-Operation
Info zu vordefinierten Baselines
Die folgende Tabelle beschreibt die mit Patch Manager bereitgestellten vordefinierten Patch-Baselines.
Informationen dazu, welche Versionen der einzelnen Betriebssysteme von Patch Manager unterstützt werden, finden Sie unter Patch Manager-Voraussetzungen.
Name | Unterstütztes Betriebssystem | Details |
---|---|---|
|
AlmaLinux |
Genehmigt alle Betriebssystem-Patches mit der Klassifizierung „Security“ und dem Schweregrad „Critical“ oder „Important“. Genehmigt außerdem alle Patches mit der Klassifizierung „Bugfix“. Patches werden sieben Tage nach ihrer Veröffentlichung oder Aktualisierung automatisch genehmigt.¹ |
|
Amazon Linux 1 |
Genehmigt alle Betriebssystem-Patches mit der Klassifizierung „Security“ und dem Schweregrad „Critical“ oder „Important“. Genehmigt außerdem automatisch alle Patches mit der Klassifizierung „Bugfix“. Patches werden sieben Tage nach ihrer Veröffentlichung oder Aktualisierung automatisch genehmigt.¹ |
AWS-AmazonLinux2DefaultPatchBaseline |
Amazon Linux 2 | Genehmigt alle Betriebssystem-Patches mit der Klassifizierung „Security“ und dem Schweregrad „Critical“ oder „Important“. Genehmigt außerdem alle Patches mit der Klassifizierung „Bugfix“. Patches werden automatisch sieben Tage nach der Veröffentlichung genehmigt.¹ |
AWS-AmazonLinux2022DefaultPatchBaseline |
Amazon Linux 2022 |
Genehmigt alle Betriebssystem-Patches mit der Klassifizierung „Security“ und dem Schweregrad „Critical“ oder „Important“. Patches werden automatisch sieben Tage nach der Veröffentlichung genehmigt. Genehmigt außerdem alle Patches mit einer Klassifizierung „Bugfix“ sieben Tage nach der Veröffentlichung. |
AWS-AmazonLinux2023DefaultPatchBaseline |
Amazon Linux 2023 |
Genehmigt alle Betriebssystem-Patches mit der Klassifizierung „Security“ und dem Schweregrad „Critical“ oder „Important“. Patches werden automatisch sieben Tage nach der Veröffentlichung genehmigt. Genehmigt außerdem alle Patches mit einer Klassifizierung „Bugfix“ sieben Tage nach der Veröffentlichung. |
AWS-CentOSDefaultPatchBaseline |
CentOS und CentOS Stream | Genehmigt alle Aktualisierungen sieben Tage nach ihrer Verfügbarkeit, einschließlich nicht sicherheitsrelevanter Aktualisierungen. |
AWS-DebianDefaultPatchBaseline |
Debian Server | Genehmigt sofort alle sicherheitsrelevanten Patches für Betriebssysteme mit der Priorität „Required“, „Important“, „Standard“, „Optional“ oder „Extra“. Die Genehmigung erfolgt unverzüglich, weil in den Repositorys keine zuverlässigen Datumsangaben zur Veröffentlichung verfügbar sind. |
AWS-MacOSDefaultPatchBaseline |
macOS | Genehmigt alle Betriebssystem-Patches mit der Klassifizierung „Security“. Genehmigt auch alle Pakete mit einem aktuellen Update. |
AWS-OracleLinuxDefaultPatchBaseline |
Oracle Linux | Genehmigt alle Betriebssystem-Patches mit der Klassifizierung „Security“ und dem Schweregrad „Important“ oder „Moderate“. Genehmigt außerdem alle als „Bugfix“ eingestuften Patches 7 Tage nach Veröffentlichung. Patches werden sieben Tage nach ihrer Veröffentlichung oder Aktualisierung automatisch genehmigt.¹ |
AWS-DefaultRaspbianPatchBaseline |
Raspberry Pi OS | Genehmigt sofort alle sicherheitsrelevanten Patches für Betriebssysteme mit der Priorität „Required“, „Important“, „Standard“, „Optional“ oder „Extra“. Die Genehmigung erfolgt unverzüglich, weil in den Repositorys keine zuverlässigen Datumsangaben zur Veröffentlichung verfügbar sind. |
|
Red Hat Enterprise Linux (RHEL) |
Genehmigt alle Betriebssystem-Patches mit der Klassifizierung „Security“ und dem Schweregrad „Critical“ oder „Important“. Genehmigt außerdem alle Patches mit der Klassifizierung „Bugfix“. Patches werden sieben Tage nach ihrer Veröffentlichung oder Aktualisierung automatisch genehmigt.¹ |
|
Rocky Linux |
Genehmigt alle Betriebssystem-Patches mit der Klassifizierung „Security“ und dem Schweregrad „Critical“ oder „Important“. Genehmigt außerdem alle Patches mit der Klassifizierung „Bugfix“. Patches werden sieben Tage nach ihrer Veröffentlichung oder Aktualisierung automatisch genehmigt.¹ |
AWS-SuseDefaultPatchBaseline |
SUSE Linux Enterprise Server (SLES) | Genehmigt alle Betriebssystem-Patches mit der Klassifizierung „Security“ und dem Schweregrad „Critical“ oder „Important“. Patches werden sieben Tage nach ihrer Veröffentlichung oder Aktualisierung automatisch genehmigt.¹ |
|
Ubuntu Server |
Genehmigt sofort alle sicherheitsrelevanten Patches für Betriebssysteme mit der Priorität „Required“, „Important“, „Standard“, „Optional“ oder „Extra“. Die Genehmigung erfolgt unverzüglich, weil in den Repositorys keine zuverlässigen Datumsangaben zur Veröffentlichung verfügbar sind. |
AWS-DefaultPatchBaseline |
Windows Server |
Genehmigt alle Windows Server Betriebssystem-Patches, die als „CriticalUpdates“ oder „SecurityUpdates“ klassifiziert sind und den MSRC-Schweregrad „Kritisch“ oder „Wichtig“ haben. Patches werden 7 Tage nach ihrer Veröffentlichung oder Aktualisierung automatisch genehmigt.² |
AWS-WindowsPredefinedPatchBaseline-OS |
Windows Server |
Genehmigt alle Windows Server Betriebssystem-Patches, die als „CriticalUpdates“ oder „SecurityUpdates“ klassifiziert sind und den MSRC-Schweregrad „Kritisch“ oder „Wichtig“ haben. Patches werden 7 Tage nach ihrer Veröffentlichung oder Aktualisierung automatisch genehmigt.² |
AWS-WindowsPredefinedPatchBaseline-OS-Applications |
Windows Server | Genehmigt für das Windows Server Betriebssystem alle Patches, die als „CriticalUpdates“ oder „SecurityUpdates“ klassifiziert sind und den MSRC-Schweregrad „Kritisch“ oder „Wichtig“ haben. Genehmigt für von Microsoft veröffentlichte Anwendungen alle Patches. Patches für Betriebssysteme und Anwendungen werden 7 Tage nach ihrer Veröffentlichung oder Aktualisierung automatisch genehmigt.² |
1 Für Amazon Linux 1 und Amazon Linux 2 wird die 7-tägige Wartezeit, bis Patches automatisch genehmigt werdenupdateinfo.xml
, anhand eines -Updated Date
Werts in und nicht anhand eines -Release Date
Werts berechnet. Verschiedene Faktoren können den Updated Date
-Wert beeinflussen. Andere Betriebssysteme behandeln Veröffentlichungs- und Aktualisierungsdaten unterschiedlich. Informationen dazu, wie Sie unerwartete Ergebnisse durch Verzögerungen bei der automatischen Genehmigung vermeiden können, finden Sie unter So werden Veröffentlichungs- und Aktualisierungsdaten von Paketen berechnet.
² Für Windows Server enthalten die Standard-Baselines eine Verzögerung von 7 Tagen für die automatische Genehmigung. Um einen Patch innerhalb von 7 Tagen nach der Veröffentlichung zu installieren, müssen Sie eine benutzerdefinierte Baseline erstellen.
Info zu benutzerdefinierten Baselines
Wenn Sie eine eigene Patch-Baseline herstellen, können Sie die Patches wahlweise automatisch genehmigen, indem Sie die folgenden Kategorien verwenden.
-
Betriebssystem: Windows Server, Amazon Linux, Ubuntu Server usw.
-
Produktname (für Betriebssysteme): Beispielsweise RHEL 6.5, Amazon Linux 2014.09, Windows Server 2012, Windows Server 2012 R2 usw.
-
Produktname (Windows Servernur für Anwendungen, die von Microsoft auf veröffentlicht wurden): Zum Beispiel Word 2016, BizTalk Server usw.
-
Klassifizierung: Beispielsweise kritische Updates, Sicherheitsupdates usw.
-
Schweregrad: Beispielsweise kritisch, wichtig usw.
Für jede von Ihnen erstellte Genehmigungsregel können Sie eine Verzögerung für die automatische Genehmigung oder ein Stichdatum für die Patch-Genehmigung angeben.
Anmerkung
Da es nicht möglich ist, die Veröffentlichungsdaten von Updatepaketen für Ubuntu Server zuverlässig zu bestimmen, werden die Optionen für die automatische Genehmigung für dieses Betriebssystem nicht unterstützt.
Eine Verzögerung der automatischen Genehmigung ist die Anzahl an Tagen, die gewartet werde soll, nachdem die Patch veröffentlicht oder zuletzt aktualisiert wurde, bevor der Patch automatisch genehmigt wird. Wenn Sie beispielsweise eine Regel mit der CriticalUpdates
-Klassifizierung erstellen und für sie für eine Verzögerung der automatischen Genehmigung von sieben Tagen konfigurieren, wird ein neuer kritischer Patch, der am 7. Juli veröffentlicht wird, am 14. Juli automatisch genehmigt.
Anmerkung
Wenn ein Linux-Repository keine Informationen zum Veröffentlichungsdatum für Pakete bereitstellt, verwendet Systems Manager die Build-Zeit des Pakets als Verzögerung bei der automatischen Genehmigung für Amazon Linux 1, Amazon Linux 2RHEL, und CentOS . Wenn das System nicht in der Lage ist, den Buildzeitpunkt des Pakets zu ermitteln, verwendet Systems Manager für die Festlegung der Verzögerung bis zur automatischen Genehmigung den Wert Null.
Wenn Sie ein Stichdatum für die automatische Genehmigung angeben, wendet Patch Manager automatisch alle Patches an, die an oder vor diesem Datum veröffentlicht oder zuletzt aktualisiert wurden. Wenn Sie beispielsweise den 07. Juli 2023 als Stichtag angeben, werden keine Patches automatisch installiert, die an oder nach dem 08. Juli 2023 veröffentlicht oder zuletzt aktualisiert wurden.
Anmerkung
Wenn Sie eine benutzerdefinierte Patch-Baseline erstellen, können Sie für Patches, die von dieser Patch-Baseline genehmigt wurden, einen Schweregrad für die Konformität angeben, beispielsweise Critical
oder High
. Wenn der Patch-Status eines genehmigten Patches als Missing
gemeldet wird, dann ist der insgesamt gemeldete Konformitätsschweregrad der Patch-Baseline der von Ihnen angegebene Schweregrad.
Beachten Sie bei der Erstellung einer Patch-Baseline Folgendes:
-
Patch Manager stellt eine vordefinierte Patch-Baseline für jedes unterstützte Betriebssystem bereit. Diese vordefinierten Patch-Baselines werden als Standard-Patch-Baselines für alle Betriebssystemtypen verwendet, wenn Sie nicht eigene Patch-Baselines erstellen und diese als Standard für den jeweiligen Betriebssystemtyp festlegen.
Anmerkung
Für Windows Server werden drei vordefinierte Patch-Baselines bereitgestellt. Die Patch-Baselines
AWS-DefaultPatchBaseline
undAWS-WindowsPredefinedPatchBaseline-OS
unterstützen nur Betriebssystemupdates auf dem Windows-Betriebssystem selbst.AWS-DefaultPatchBaseline
wird als Standard-Patch-Baseline für von Windows Server verwalteten Knoten verwendet, es sei denn, Sie geben eine andere Patch-Baseline an. Die Konfigurationseinstellungen in diesen beiden Patch-Baselines sind identisch. Die neuere der beiden,AWS-WindowsPredefinedPatchBaseline-OS
, wurde erstellt, um sie von der dritten vordefinierten Patch-Baseline für Windows Server zu unterscheiden. Diese Patch-Baseline,AWS-WindowsPredefinedPatchBaseline-OS-Applications
, kann verwendet werden, um Patches sowohl auf das Windows Server-Betriebssystem als auch auf unterstützte Anwendungen, die von Microsoft veröffentlicht wurden, anzuwenden. -
Bei On-Premises-Servern und virtuellen Maschinen (VMs) versucht Patch Manager, Ihre benutzerdefinierte Standard-Patch-Baseline zu verwenden. Wenn keine benutzerdefinierte Standard-Patch-Baseline vorhanden ist, verwendet das System die vordefinierte Patch-Baseline für das entsprechende Betriebssystem.
-
Wenn ein Patch sowohl als genehmigt als auch als abgelehnt aufgelistet ist, wird der Patch abgelehnt.
-
Für einen verwalteten Knoten kann nur eine einzige Patch-Baseline definiert werden.
-
Die Formate der Paketnamen, die Sie zu den Listen der genehmigten und abgelehnten Patches für eine Patch-Baseline hinzufügen können, hängen von der Art des Betriebssystems ab, das gepatcht wird.
Weitere Informationen zu akzeptierten Formaten für Listen genehmigter und abgelehnter Patches finden Sie unter Paketnamen-Formate für Listen genehmigter und abgelehnter Patches.
Wenn Sie eine Patch-Richtlinienkonfiguration in Quick Setup verwenden, werden Aktualisierungen, die Sie an benutzerdefinierten Patch-Baselines vornehmen, einmal pro Stunde mit Quick Setup synchronisiert.
Wenn eine benutzerdefinierte Patch-Baseline gelöscht wird, auf die in einer Patch-Richtlinie verwiesen wurde, wird auf der Seite mit den Quick Setup-Configuration details (Konfigurationsdetails) ein Banner für Ihre Patch-Richtlinie angezeigt. Das Banner informiert Sie darüber, dass die Patch-Richtlinie auf eine nicht mehr vorhandene Patch-Baseline verweist und nachfolgende Patching-Vorgänge fehlschlagen werden. Kehren Sie in diesem Fall zur Seite Quick Setup-Configurations (Konfigurationen) zurück, wählen Sie die Patch Manager-Konfiguration aus und wählen Sie Actions (Aktionen), Edit configuration (Konfiguration bearbeiten). Der Name der gelöschten Patch-Baseline wird hervorgehoben, und Sie müssen eine neue Patch-Baseline für das betroffene Betriebssystem auswählen.
Informationen zum Erstellen einer Patch-Baseline finden Sie unter Arbeiten mit benutzerdefinierten Patch-Baselines und Anleitung: Patchen einer Serverumgebung (AWS CLI).